Upozornění na již nepodporovanou verzi Joomly
Pokud jste ode mne dostali e-mail, který vás odkázal na tuto stránku, pak proto, že váš web zřejmě používá již nepodporovanou verzi Joomly, redakčního systému, na kterém je váš web postaven. Tato stránka vysvětluje, proč na tom záleží a jak to opravit.
Je tato zpráva důvěryhodná?
Ano. Jde o upozornění v dobré víře podle zásad zodpovědného zveřejňování od nezávislého bezpečnostního výzkumníka. Nežádám vás o peníze, hesla ani přístup k vašemu webu a nepokoušel jsem se do něj proniknout ani cokoli zneužít.
Pouze jsem si přečetl veřejný soubor, který váš web poskytuje každému návštěvníkovi, totiž manifest verze Joomly, a zaznamenal jsem číslo verze, které zveřejňuje. Jde o stejnou veřejnou část vašeho webu jako vaše úvodní stránka. Nic na této kontrole se nedotýká vašich dat, vaší administrace ani žádné soukromé části vašeho webu. Pokud můj e-mail uváděl konkrétní verzi nebo bezpečnostní problém, pak to pocházelo z přečtení tohoto jediného veřejného souboru, nikoli z testování čehokoli.
Pokud si chcete ověřit, kdo jsem, podívejte se na kontaktní údaje v dolní části této stránky a na stránku O této stránce.
Proč na tom záleží
Joomla 3.x dosáhla konce životnosti 17. srpna 2023. Starší větve (2.5, 1.5) dosáhly konce životnosti již roky předtím. Konec životnosti znamená, že projekt Joomla pro tuto větev vůbec nevydává bezpečnostní opravy, a to ani pro závažné, veřejně známé zranitelnosti. Nové chyby nalezené po datu konce životnosti pro vaši verzi prostě nikdy nebudou opraveny.
Útočníci aktivně prohledávají internet a hledají weby používající tyto nepodporované verze, protože zranitelnosti jsou dobře zdokumentované a snadno dohledatelné. K častým výsledkům patří přepsání obsahu webu (defacement) (vaše stránky jsou nahrazeny nebo pozměněny), vkládání spamu a využití webu k hostování škodlivého obsahu. Pokud můj e-mail uváděl konkrétní CVE, znamená to, že verze, kterou váš web hlásí, spadá do rozsahu, který tento problém prokazatelně postihuje. Netestoval jsem, zda je konkrétně váš web zneužitelný, pouze to, že hlásí dotčenou verzi.
Dobrá zpráva: přechod na podporované vydání tyto mezery uzavře a existuje dobře zdokumentovaný postup aktualizace.
Příklady známých zranitelností
Toto je několik veřejně zdokumentovaných, vysoce závažných zranitelností postihujících již nepodporované větve Joomly 3.x (a starší). Protože tyto verze nejsou podporovány, problémy jako tyto nejsou nikdy opraveny a technické podrobnosti jsou široce publikovány:
- CVE-2015-8562: neautentizované vzdálené spuštění kódu prostřednictvím injekce PHP objektu, postihuje Joomlu 1.5.x až 3.4.5. Tato zranitelnost byla aktivně zneužívána v reálném provozu.
- CVE-2017-8917: kritická (CVSS 9.8) SQL injekce v Joomle 3.7.0.
- CVE-2016-8869: kritická (CVSS 9.8) eskalace oprávnění přes komponentu registrace uživatelů, ve verzích před 3.6.4.
- CVE-2016-8870: neoprávněné vytvoření účtu, i když je registrace zakázána, ve verzích před 3.6.4.
- CVE-2015-7857: SQL injekce v komponentě historie obsahu, postihuje Joomlu 3.2 až 3.4.4.
Pokud můj e-mail uváděl konkrétní CVE, bude to jedna z těchto: veřejně známý problém, jehož rozsah dotčených verzí zahrnuje verzi, kterou váš web hlásí.
Jak zkontrolovat svou verzi
Nemusíte mi věřit, jakou verzi používáte.
Z veřejného manifestu (bez přihlášení): otevřete v prohlížeči
vasedomena.cz/administrator/manifests/files/joomla.xml. Řádek <version> je směrodatná
verze jádra a jde o stejný soubor, který jsem četl.
Z administrace (pokud máte přístup):
- Přihlaste se do administrace Joomly (obvykle na adrese
vasedomena.cz/administrator). - Otevřete Systém a poté se podívejte na panel Systémové informace / nástěnku, který zobrazuje verzi Joomly.
Pokud je hlavní verze 3, 2.5 nebo 1.5, používáte nepodporovanou větev a měli byste aktualizovat.
Jak aktualizovat
Aktuálně podporovaná hlavní vydání jsou Joomla 4 a Joomla 5. Vždy si nejprve vytvořte zálohu (soubory a databázi) před provedením změn; většina hostingů nabízí zálohy na jedno kliknutí, případně můžete použít zálohovací rozšíření pro Joomlu.
Doporučený postup od Joomly 3 je:
- Nejprve aktualizujte na nejnovější Joomlu 3.10.x. Řada 3.10 obsahuje vestavěnou kontrolu před aktualizací (v komponentě Aktualizace Joomly), která označí veškerá rozšíření nebo šablony, jež ještě nejsou kompatibilní s Joomlou 4.
- Vyřešte nahlášená nekompatibilní rozšíření/šablony. Aktualizujte je na verze kompatibilní s Joomlou 4/5, nebo najděte náhradu.
- Proveďte migraci na Joomlu 4 a poté pokračujte aktualizací na Joomlu 5, přes Komponenty → Aktualizace Joomly v administraci.
- Odkazy ke stažení a aktuální vydání jsou vždy na oficiálním projektu: https://downloads.joomla.org.
- Po aktualizaci potvrďte novou verzi podle výše uvedených kroků a zkontrolujte, že se váš web běžně načítá a upravuje.
Pokud je váš web velmi starý (Joomla 1.5 nebo 2.5), je skok větší a často je nejlepší jej provést jako nové sestavení Joomly 5 s převedeným obsahem. Webový profesionál to zvládne rychle.
Při té příležitosti aktualizujte také svá rozšíření a šablonu, protože stejná zásada “nepodporované znamená neopravené” platí pro všechna.
Nemám webmastera / nevím si rady
Pokud nejste tou osobou, která web spravuje, přepošlete prosím tuto stránku tomu, kdo to dělá (vašemu vývojáři webu, agentuře nebo poskytovateli hostingu). Výše uvedené kroky rychle rozpozná.
Pokud web spravujete sami a zaseknete se, rád vám zdarma pomohu nasměrovat se správným směrem. Ozvěte se pomocí kontaktních údajů níže.
Kontakt
Evan Harris, bezpečnostní výzkumník
- E-mail: security@mail.mcpsec.dev
- X: @Evan__Harris
- GitHub: eharris128
- LinkedIn: Evan Harris
Na provozovatele se s problémy, jako je tento, obracím výhradně proto, abych jim pomohl zabezpečit jejich weby. Pokud si nepřejete být znovu kontaktováni, stačí mi to sdělit a budu to respektovat.
Zdroje
Oficiální zdroje Joomly
- Vývojová roadmapa Joomla CMS (zásady podpory a konce životnosti: každá hlavní verze je podporována nejméně čtyři roky)
- Joomla Developer Network: roadmapa vydání (aktuálně podporované hlavní verze)
- Oznámení Joomly potvrzující, že bezpečnostní podpora Joomly 3.10 skončila 17. srpna 2023
- Technické požadavky Joomly (pro aktuálně podporovaná vydání)
Souhrn třetí strany
- endoflife.date: Joomla (konsolidovaná tabulka dat konce životnosti Joomly)