Autore Topic: Importantissimo sicurezza ed exploit !  (Letto 5170 volte)

Offline matthz

  • Esploratore
  • **
  • Post: 105
    • Mostra profilo
Importantissimo sicurezza ed exploit !
« il: 20 Nov 2005, 10:35:45 »
Buona giornata a tutti.

Stamattina un amico che si interessa di sicurezza mi ha inviato in una mail questo testo consigliandomi di patchare o chiudere il sito.

Chiedevo così a voi se potete dirmi di cosa si tratta ed eventualmente se è qualcosa di cui esiste una patch.

Spero in una risposta anche perchè dovrebbe essere un problema serio che potrebbe toccare tutti.

La versione di Joomla! che ho installato è quella del 31 ottobre (1.0.4)

Grazie!


> Mambo 0day Exploit out in the wild
>
> http://www.fnse.org/news.php
>
> http://share.skype.com/cache/main.htm
> http://mamboserver.com/modules/main.htm
>
> mambo server hacked by a philippine/filipino hacker - the great rebarz99
>
>
> Hacked By Rebarz99
> Mabuhay ang Masang Pilipino!
>
>
> There are rumors that an 0day exploit is circulating among local hackers.
The exploit is based on the advisory at
http://seclists.org/lists/fulldisclosure/2005/Nov/0528.html
>
> Several sites have reportedly been breached as result;
>
> http://www.zone-h.org/en/defacements/mirror/id=3055967/
> http://www.zone-h.org/en/defacements/mirror/id=3056290/
> http://www.zone-h.org/en/defacements/mirror/id=3057741/
>
> Multiple local sites including linux.lorma.edu and various .edu.ph and
.gov.ph sites have also been reportedly hacked into and backdoors put in
place.
« Ultima modifica: 20 Nov 2005, 10:37:42 da matthz »

Offline INVY

  • Nuovo arrivato
  • *
  • Post: 48
    • Mostra profilo
Re: Importantissimo sicurezza ed exploit !
« Risposta #1 il: 20 Nov 2005, 11:05:54 »
Io ho letto questo:

Esecuzione di codice arbitrario in Mambo
http://zone-h.it/advisories/read/id=978

11/17/2005
 
peter MC tachatte ha scoperto una vulnerabilità in Mambo che può essere sfruttata da un utente remoto per manipolare alcune informazioni e compromettere un sistema vulnerabile.
La falla è dovuta ad un errore nel 'register_globals' emulation layer presente in ' globals.php', dove alcuni array usati dal sistema possono essere sovrascritti. La vulnerabilità può essere exploitata attraverso il parametro 'mosConfig_absolute_path' per includere file arbitrari da un percorso locale o esterno al sito affetto.

L'exploitazione della falla richiede che register_globals' sia disabilitato.

La vulnerabilità è stata riscontrata nella versione 4.5.2.3. Altre versioni potrebbero essere affette dal problema.


Soluzione:
Editare il codice sorgente in modo che gli array predefiniti usati dal sistema non possano essere sovrascritti dai parametri forniti dall'utente.


Riferimenti:
http://secunia.com/advisories/17622/
http://secunia.com/advisories/17441/
 
http://www.zone-h.it/advisories/read/id=978
Un lungo cammino inizia sempre con il primo passo

Offline matthz

  • Esploratore
  • **
  • Post: 105
    • Mostra profilo
Re: Importantissimo sicurezza ed exploit !
« Risposta #2 il: 20 Nov 2005, 11:16:41 »
Grazie mille per la risposta INVY !

Secondo te anche Joomla! (nell'ultima versione intendo) può essere vulnerabile?

Offline INVY

  • Nuovo arrivato
  • *
  • Post: 48
    • Mostra profilo
Re: Importantissimo sicurezza ed exploit !
« Risposta #3 il: 20 Nov 2005, 11:34:58 »
Purtroppo di PHP non sono esperto (me ne intendo di più di ASP) e non saprei dire.
Io sono passato a Mambo da un mese (ma solo come test) arrivando da PhpNuke e solo da 2 giorni ho convertito a Joomla.
Penso di adottare Joomla come portale ufficiale, ma per l'appunto devo un po' valutare la sicurezza. Anche perchè lo segnalerei come proposta di portale Open Source ai miei Clienti.
Stavo pensando a una cosa: si rende più sicuro se dopo averlo installato si nega il diritto di scrittura su tutte le directory del sito? più che altro funzionerà? (ovviamente senza la possibilità di caricare via browser file, ecc..)
Un lungo cammino inizia sempre con il primo passo

Offline INVY

  • Nuovo arrivato
  • *
  • Post: 48
    • Mostra profilo
Re: Importantissimo sicurezza ed exploit !
« Risposta #4 il: 20 Nov 2005, 13:36:17 »
Ho visto che anche su forum di www.joomla.org si discute di questo problema:

http://forum.joomla.org/index.php/topic,19204.0.html
Un lungo cammino inizia sempre con il primo passo

Offline matthz

  • Esploratore
  • **
  • Post: 105
    • Mostra profilo
Re: Importantissimo sicurezza ed exploit !
« Risposta #5 il: 20 Nov 2005, 14:49:19 »
Quindi pare che utilizzando Joomla! 1.0.3 e testando l'exploit dia questo errore: "Fatal error. Global variable hack attempted"

Speriamo bene.

Se c'è qualche altra novità posterò in questo thread, ti pregherei di fare lo stesso.

Per quanto riguarda il discorso di dare Joomla! come soluzione ai tuoi utenti, venendo anch'io da PHP-Nuke ti posso dire che è tutto un altro mondo, molto più flessibile e potente, nonchè semplice da utilizzare. Volendo un tuo utente potrebbe amministrare joomla, modificare i files di linguaggio, ed aggiungengere o rimuovere moduli e components senza dover più utilizzare l'ftp, mentre con phpnuke sai benissimo che questo non è possibile.

Offline Bettinz

  • Instancabile
  • ******
  • Post: 2235
  • Sesso: Maschio
  • Mentre pensi, spesso perdi l'occasione.
    • Mostra profilo
Re: Importantissimo sicurezza ed exploit !
« Risposta #6 il: 20 Nov 2005, 17:33:35 »
esatto, leggendo i post joomla si salva...

un altro punto a favore di joomla  ;D
Bettinz.com

Offline INVY

  • Nuovo arrivato
  • *
  • Post: 48
    • Mostra profilo
Re: Importantissimo sicurezza ed exploit !
« Risposta #7 il: 20 Nov 2005, 22:04:55 »
Se c'è qualche altra novità posterò in questo thread, ti pregherei di fare lo stesso.

Non mancherò di postare, se ho altre notizie.


Per quanto riguarda il discorso di dare Joomla! come soluzione ai tuoi utenti, venendo anch'io da PHP-Nuke ti posso dire che è tutto un altro mondo, molto più flessibile e potente, nonchè semplice da utilizzare. Volendo un tuo utente potrebbe amministrare joomla, modificare i files di linguaggio, ed aggiungengere o rimuovere moduli e components senza dover più utilizzare l'ftp, mentre con phpnuke sai benissimo che questo non è possibile.

Infatti è molto potente, nel senso che ha molte possibilità che pare si integrino molto bene tra loro.
Non ritengo sia facilissimo da usare, forse proprio perchè ha tutte queste possibilità e varianti, però una volta individuata la "sua" logica si possono effettuare personalizzazioni notevoli. Ottimo poi il fatto che si può installare un modulo con un semplice "sfoglia, invia e installa" da eseguirsi con un solo CLICK!
Riguardo la sicurezza: io conosco abbastanza bene tutti i principali portali Opensource (fornisco servizi Hosting particolarmente mirati a questi portali), e quindi so che la sicurezza al 100% non esiste. L'essenziale è tenerli aggiornati e.. fare i backup!
Per il resto... buon lavoro al team di Joomla!
Un lungo cammino inizia sempre con il primo passo

Offline Rosario

  • Esploratore
  • **
  • Post: 55
  • Sesso: Maschio
    • Mostra profilo
Re: Importantissimo sicurezza ed exploit !
« Risposta #8 il: 21 Nov 2005, 15:23:41 »
Non sarei molto sicuro come Bettinz per quanto riguarda joomla: nel link suggerito (http://forum.joomla.org/index.php/topic,19204.0.html) sembrerebbe che pure joomla sia affetto. Da quello che  ho capito, per essere vulnerabili bisogna avere PHP >= 4.41 or 5.0.4. Per verificare la vulnerabilita', provate a inserire nel vostro browser:
Codice: [Seleziona]
http://www.miosito.it/index.php?GLOBALS[mosConfig_absolute_path]=/etc/passwdoppure:
Codice: [Seleziona]
http://www.miosito.it/index.php?GLOBALS[mosConfig_absolute_path]=http://www.unaltrosito.it
e saprete subito se siete o no vulnerabili.  Se il messaggio è "fatal error ecc...", allora potete dormire sonni tranquilli, altrimenti, via col backup e con l'upgrade.

E' sufficiente aggiornare php e tutto dovrebbe aggiustarsi.

Mi piacerebbe sapere se qualcuno che ha Joomla (qualsiasi versione) e php < 4.41 o 5.04, effettivamente riscontra questa vulnerabilità.
Ros

Offline Bettinz

  • Instancabile
  • ******
  • Post: 2235
  • Sesso: Maschio
  • Mentre pensi, spesso perdi l'occasione.
    • Mostra profilo
Re: Importantissimo sicurezza ed exploit !
« Risposta #9 il: 21 Nov 2005, 15:32:25 »
a me dice Fatal error. Global variable hack attempted.
uso php 4.4.1 e joomla 1.0.3 (******)
Bettinz.com

Offline alexred

  • Fuori controllo
  • *
  • Post: 25672
  • Sesso: Maschio
  • Esperto in ozio relaxed
    • Mostra profilo
Re: Importantissimo sicurezza ed exploit !
« Risposta #10 il: 21 Nov 2005, 15:43:44 »
Da quello che  ho capito, per essere vulnerabili bisogna avere PHP >= 4.41 or 5.0.4.
occhio al simbolo del maggiore o minore.... per essere vulnerabili devi avere queste condizioni:
- Mambo <= 4.5.2.3
- register_globals=Off
- PHP <= 4.4.1 or 5.0.4
- Sef = on

su joomla! 1.04 sono state prese le adeguate contromisure, vediamo se funziona, però capite che le condizioni sono da sfigato......   :)

Offline INVY

  • Nuovo arrivato
  • *
  • Post: 48
    • Mostra profilo
Re: Importantissimo sicurezza ed exploit !
« Risposta #11 il: 21 Nov 2005, 23:53:54 »
Io leggo dal sito joomla.org questo:
Citazione
Please note, that the exploit is not an exploit when the machine is running PHP >= 4.41 or 5.0.4.

When you have
- Mambo < 4.5.2.3
- register_globals=Off
- PHP < 4.4.1 or 5.0.4

your site is vulnerable.

e a me la prova
www.miodominio.xx/index.php?GLOBALS[mosConfig_absolute_path]=/etc/passwd

da

Fatal error. Global variable hack attempted.
« Ultima modifica: 21 Nov 2005, 23:56:13 da INVY »
Un lungo cammino inizia sempre con il primo passo

Offline matthz

  • Esploratore
  • **
  • Post: 105
    • Mostra profilo
Re: Importantissimo sicurezza ed exploit !
« Risposta #12 il: 22 Nov 2005, 18:43:20 »
Scusate la domanda ingenua, se io provassi e non mi desse fatal error che succede? Scasso tutto? Fatemi sapere perchè non ho idea di testare il link proposto e rischiare di rovinare il mio lavoro.  ;)

Per rispondere a INVY: è un vero perccato che Joomla! non abbia un manuale di istruzioni, mi sono accorto solo usandolo le immensa potenzialità di questo CMS. Secondo me ci puoi fare davvero di tutto. Dicono che sia superato solo da Typo3, ed a sto punto mi piacerebbe sapere se quel CMS faccia anche i toast!  ;D
« Ultima modifica: 22 Nov 2005, 18:45:22 da matthz »

Offline Bettinz

  • Instancabile
  • ******
  • Post: 2235
  • Sesso: Maschio
  • Mentre pensi, spesso perdi l'occasione.
    • Mostra profilo
Re: Importantissimo sicurezza ed exploit !
« Risposta #13 il: 22 Nov 2005, 19:10:03 »
i toast no, ma fa a malapena il cms  ;D
sarà perchè ero cresciuto con l'html, ma io in typo3 ci capivo poco, tutto stile ad albero e devo dire, solo per utenti advanced..
pensa che sul loro sito, dicono che ci vuole un mese per imparare  ;D
per me joomla dalla 1.1 scalderà i toast con il laser e li farà uscire dal masterizzatore  ;D ;D
Bettinz.com

Offline Bettinz

  • Instancabile
  • ******
  • Post: 2235
  • Sesso: Maschio
  • Mentre pensi, spesso perdi l'occasione.
    • Mostra profilo
Re: Importantissimo sicurezza ed exploit !
« Risposta #14 il: 22 Nov 2005, 19:52:02 »
Typo3 è un signor CMS ...... tanto di cappello

allora vuol dire ke ne so poco  ;D
Bettinz.com

Offline carloernesto

  • Abituale
  • ****
  • Post: 828
  • Sesso: Maschio
  • E=mc²
    • Mostra profilo
Re: Importantissimo sicurezza ed exploit !
« Risposta #15 il: 23 Nov 2005, 02:22:48 »
ciao a tutti,
typo3 è super, un cms totalmente ad oggetti in php, solo che ci vogliono molte risorse per farlo funzionare. lo  script richiede da 24 a 32 mb (joomla! 8).
puoi avere più siti paralleli e un sistema avanzato di gestione, lavora come un file-manager, quindi semplice da comprendere per chi usa il computer.
possiede una marea di estensioni.
la gestione dei permessi e dei gruppi è molto avanzata. possiede front-end e back-end. inoltre, il sito è fornito di un manuale completo sia testuale che video!
quello che fa impressione e che una sola persona la programmato tutto quanto.
ho tradotto un manuale per fare i template di typo3 ma è un modo un pò complesso di lavorare, possiede un suo linguaggio script interno per fare un template ;D
comunque l'ho messo in secondo piano in favore di joomla! molto più semplice e veloce da implementare.
ciao ciao
prima di postare, hai provato a cercare sul forum? hai guardato anche nell'area download? sei sicuro....

 

Host

Torna su