Sicherheitslücke 4.0.5

    Hallo


    mit dem Start vor wenigen Monaten zum Aufbauen eines Projekt auf Joomla 4.0.5 habe ich erstmals Sicherheitswarnungen erhalten. Solange das Projekt in einem Subfolder versteckt und bei den Suchmaschinen nicht angemeldet ist habe ich nicht damit gerechnet. Die Warnungen vom Provider:


    Sicherheitslücke vom Typ “Open redirect” in Joomla

    /home/flipper.de/libraries/src/Uri/Uri.php


    Sicherheitslücke vom Typ “Datei-Upload” in Joomla

    /home/flipper.de/libraries/vendor/joomla/archive/src/Tar.php


    Sicherheitslücke vom Typ “Command Injection” in Jooml

    /home/flipper.de/administrator/components/com_content/src/Controller/ArticlesController.php

    /home/flipper.de/administrator/components/com_banners/src/Controller/BannersController.php

    /home/flipper.de/administrator/components/com_associations/src/Controller/AssociationsController.php

    weitere....


    Wenn die Updates denn Lücken schliessen und nicht neue öffnen, dann würde ich die Aktualisierungen mit gutem Gefühl durchführen. Mich überrascht der Update-Stress, den ich von WP her gut kenne und eigentlich mit Joomla unterbunden haben wollte.


    Wie ist die Erfahrung in der Community?
    Danke für Feedbacks und Gruss

    Flipper

    Zitat von flipper

    Hallo


    mit dem Start vor wenigen Monaten zum Aufbauen eines Projekt auf Joomla 4.0.5 habe ich erstmals Sicherheitswarnungen erhalten. Solange das Projekt in einem Subfolder versteckt und bei den Suchmaschinen nicht angemeldet ist habe ich nicht damit gerechnet.

    Die Bots durchsuchen das Web und es werden auch viele URLs generiert und getestet. Das ist unabhängig davon, ob deine Seite irgendwo angemeldet ist oder nicht.


    Was meinst du mit "Subfolder versteckt"?

    Du musst dafür sorgen, dass die URLs der Webseite nicht erreichbar sind. Dazu nutzt man beispielsweise einen Passwortschutz für die gesamte Webseite. Beispielsweise über eine .htaccess und .htpasswd im Joomla-Root. im Joomla-Root nutzt man ja oft schon eine .htaccess, die dann zu ergänzen wäre. Die .htpasswd könnte man ins selbe Verzeichnis oder besser oberhalb von Joomla legen, halt an einen Ort, den man per URL nicht erreichen kann.
    Im produktiven Betrieb nutzt man am besten auch solch einen zusätzlichen Passwortschutz, dann aber nur für das Verzeichnis "administrator" (grundlegender Schutz gegen Hackangriffe).


    Die Joomla-Updates haben verschiedene Bezeichnung, z.B. Sicherheitsupdate. Spätestens dann sollte man reagieren. Empfehlenswert ist aber dennoch immer eine zeitnahe Aktualisierung, auch wenn in einem Patch nur Fehler korrigiert werden sollten.

    Und ja, nach dem Herauskommen einer Minor- oder gar Major-Version ist immer noch mit der Beseitigung von "Kinderkrankheiten" und vermehrten Aktualisierungen zu rechnen.


    Hier das letzte Update (Security- und Bug-Fixes): https://www.joomla.org/announc…2-and-3-10-8-release.html

    Danke. Den Folder Administrator werde ich umgehend schützen. Tatsächlich sind die Sicherheitslücken vom Typ “Command Injection” im administrator-Folder aufgetaucht. Die Lösung scheint plausibel, allerdings sind damit beim Administrien jeweils 2 Logins erforderlich; der zum geschützen Verzeichnis und der Administrator-login. Offenbar aber die Praxis. Für das Projekt selber ist ein geschützer Folder natürlich keine Option.


    Die Updates ziehen mache ich zeitnah, ist klar.

    Zitat von flipper

    Die Lösung scheint plausibel, allerdings sind damit beim Administrien jeweils 2 Logins erforderlich; der zum geschützen Verzeichnis und der Administrator-login.

    Der Passwortschutz über den Server (.htaccess bei Apache) sorgt dafür, dass zunächst gar nicht auf die Joomla-Datenbank zugegriffen werden muss.
    Erst beim Backend-Login findet ein DB-Zugriff statt.

    Zitat von flipper

    Danke, hm, das muss ich mir anschauen. Mal so ins Blaue die These: Wenn die Schadsoftware ohne DB-Zugriff funktioniert, dann nützt der Datenbank Zugriffschutz wenig.

    Die Absicherung des sensiblen Backend-Bereichs ist eine zusätzliche Sicherheitsebene. Da die zusätzlichen Zugangsdaten nicht in der DB gespeichert werden, kann man sich beispielsweise nicht im Backend anmelden, selbst wenn man die Login-Daten für das Backend "in Erfahrung bringen" sollte.
    Bots & Co. können auch nicht mit irgendwelchen automatisch generierten URls im administrator-Verzeichnis experimentieren.

    Und wenn die Backend-Login-Maske frei erreichbar wäre, könnten Mengen an Kombinationen getestet werden, was die Last auf die DB erhöhen würde.


    Was meinst du mit "Wenn die Schadsoftware ohne DB-Zugriff funktioniert, ....."?


    Wenn du z.B. dein FileZilla auf dem Rechner nicht aktuell hältst oder gar Passwörter auf der Festplatte gespeichert werden, dann kann dadurch eine Webseite gehackt werden. Das wäre aber ein ganz anderes Thema. So gibt es eine ganze Reihe an Sicherheitsmaßnahmen, die man realisieren sollte.
    Und Lücken werden halt durch Sicherheitsupdates beseitigt.

    Ist zu nachlässig, zugegeben. Der Hintergrund: Ich habe bei einem Joomla-3-Projekt versuchsweise die Meldungen ignoriert. Innerst den letzten 10 Monaten habe ich ca. 1000 Joomla!-Aktualisierungs-Meldungen erhalten. War ein Test!!! Bitte nicht auf mich einprügeln ;)

    Ein anderes Projekt auf Joomla-2 stehen geblieben, das werkelt glücklich vor sich hin. Der Kunde ist damit glücklich und denkt nicht daran, das Projekt auf den neuesten technischen Stand zu setzen. Mit dem Abschalten der PHP-Version wird wohl erst Schluss sein damit.


    Jetzt mit meinem neuen Joomla-4-Projekt, Cassiopeia und ohne 3rd-Party-Codes hoffte ich von Problemen verschont zu bleiben. Trotzdem brennts, wie im Eingangsposting skizziert.

    Ich würde nicht auf die Scans vom Provider alleine vertrauen. Diese Scans sind sehr allgemein und es gibt oft falsch positive. Du kannst die gemeldeten Dateien mit der original Joomla Datein vergleichen, um sicher zu gehen, dass es bei dir keinen komischen Code eingeschleust wurde. Oder du kannst deine Seite von mysites.guru oder ähnlichen auf Joomla spezialisierten Services checken lassen.

    Generell sollte man auch immer hinterfragen, ob die angeblichen Sicherheitslücken überhaupt welche sind. Da wäre interessant, welcher Provider das ist und wie hysterisch der Scanner aufgesetzt ist. Stichwort "False Positives".


    Ich würde mal eine blanke, aktuelle Joomla 4 in einer Subdomain aufsetzen. Diese komplett mit einer .htacces schützen. Dann den Provider sofort bitten, die ebenfalls mal zu scannen. Wenn wieder Meldungen kommen, kannst du davon ausgehen, dass der Scanner Unsinn meldet. Deine Liste enthält nur Core-Dateien, teils welche, die bis heute unverändert im Core liegen.


    Wenn es sich um Schadcode handelt, der von Hackern in deine Seite eingeschleust wurde, dann helfen Updates recht wenig, weil Updates die Hintertür(en), die dann zum System irgendwo offen steht/stehen, damit nicht geschlossen werden. Es werden ja im Idealfall nur Core-Dateien überschrieben, die über die Hintertüren VIELLEICHT Schadcode eingeschleust bekamen, und oftmals längst nicht alle überschrieben. Irgendwelches anderes Zeugs, eingeschleuste, weitere Schaddateien,wird ja nicht gelöscht. Die Türen sind nach wie vor offen, vielleicht längst weitere geöffnet.


    Anders: Oft wurden ja ZUSÄTZLICHE Dateien hochgeladen, die als Hintertüren agieren.


    Wenn wir annehmen, dass der Scanner zurecht Schadcode meldet, ist der Zug bei der Menge, die du da auflistest längst abgefahren und die Seite muss gründlich und zeitaufwändig mit entsprechendem Know-How bereinigt werden oder von 0 neu aufgesetzt werden und jede einzelne Datei, bspw. in /images/-Ordner, die man weiterverwenden will, beäugt werden. Oft kopieren Leute solche Ordner ja einfach rüber.


    Da helfen im Nachhinein weder htaccess noch ändern von Kennworten noch sonstige verzweifelte Bemühungen. Meist hat man nur vorübergehend Ruhe, während die Hacks sich munter ausbreiten.

    Danke. Der Webspace in meinem Fall wird vom Provider täglich auf Sicherheitslücken überprüft.


    Um zu verhindern, dass die Website gehackt und für die Verbreitung von Schadsoftware (Malware) genutzt wird, schliesst mein Provider die Sicherheitslücken von bekannten Applikationen wie WordPress, Joomla, Drupal, Magento, WooCommerce, PrestaShop und vielen weiteren, automatisch. Sämtliche Ereignisse sind reversibel und werden dem Kunden per E-Mail mitgeteilt. Siehe Posting eingangs.


    Der Provider schreibt weiter: Die Erkennung von Sicherheitslücken erfolgt über sogenannte Hashes von Dateien. So wird auch sichergestellt, dass nur unveränderte Core-Dateien von Applikationen berührt werden und Dateien, die manuelle Änderungen enthalten, nicht mehr gepatched werden. Die Patches werden «zielgenau» angebracht. Es werden also weder Updates gefahren, noch einzelne Dateien überschrieben, sondern nur diejenigen Stellen im Code geändert, welche eine Sicherheitslücke schliessen.

    Klingt für mich ja eher dubios ;)


    Und was ist mit Dateien, die dir untergejubelt wurden?


    Und warum meldet der Provider dann dem Joomla-Team nicht gefundene Sicherheitslücken, wenn die nun garantiert Joomla-Core sind?


    Stattdessen sollte der Provider vielleicht eher darauf achten, dass dein Joomla aktuell ist, anstatt an alten Versionen rumzufrickeln.


    Bleibt jetzt allerdings die Frage, was eigentlich dein Anliegen im Rahmen dieses Forums ist.

    Die Frage, warum ich hier bin – vielleicht das grösste Rätsel – möchte ich gerne beantworten? Weil mich der freundliche Umgangston motiviert. Wie Schadsoftware zu bändigen ist, da verlasse ich mich auf den Support des Providers meiner Wahl.

    Zitat von flipper

    Die Angaben zum 'dubiosen Provider' oben auf Anfrage vertraulich per PM.

    Die Vorgehensweise im Zusammenhang mit genannten Punkten klingt dubios. Und wer öffentlich postet, sollte nicht auf PM umsteigen. Schließlich geht es hier ja auch darum, ggf. andere User vor blauäugigem Vertrauen in Provider-Dienstleistungen ggf. zu warnen.


    Du versuchst zu suggerieren, dass Joomla-4-Core diverse Lücken enthält und es "brennt". Ob die glückliche Joomla-2.5 nicht schon längst ebenfalls Lücken enthält, interessiert dich dabei nicht. Und betreibst mutwillig andere veraltete Seiten-Versionen.


    Deshalb die berechtigte Rückfrage, was du von Forenmitgliedern nun eigentlich als Antwort erwartest.

    Der Updatewahnsinn hat mich zu Joomla getrieben. Eine klare Ansage.

    Suggerieren ist nicht die Absicht. Ein abwägen schon. Wenn die Büchse mal auf ist, dann fliegen einem die Fragen um die Ohren.


    Du kannst dicht machen, wenn damit jemandem geholfen ist.