Αν λάβατε ένα email από εμένα που σας παραπέμπει σε αυτή τη σελίδα, αυτό συμβαίνει επειδή ο ιστότοπός σας φαίνεται να εκτελεί μια έκδοση Joomla σε τέλος κύκλου ζωής, το σύστημα διαχείρισης περιεχομένου στο οποίο είναι χτισμένος ο ιστότοπός σας. Αυτή η σελίδα εξηγεί γιατί αυτό έχει σημασία και πώς να το διορθώσετε.

Είναι αυτό το μήνυμα γνήσιο;

Ναι. Πρόκειται για μια καλόπιστη ειδοποίηση υπεύθυνης γνωστοποίησης από έναν ανεξάρτητο ερευνητή ασφαλείας. Δεν σας ζητώ χρήματα, κωδικούς πρόσβασης ή πρόσβαση στον ιστότοπό σας, και δεν έχω επιχειρήσει να εισβάλω σε αυτόν ή να αξιοποιήσω οτιδήποτε.

Το μόνο που έκανα ήταν να διαβάσω ένα δημόσιο αρχείο που ο ιστότοπός σας παρέχει σε κάθε επισκέπτη, ένα μανιφέστο έκδοσης Joomla, και να σημειώσω τον αριθμό έκδοσης που δημοσιεύει. Αυτό είναι το ίδιο δημόσιο μέρος του ιστότοπού σας όπως και η αρχική σας σελίδα. Τίποτα σε αυτόν τον έλεγχο δεν αγγίζει τα δεδομένα σας, την περιοχή διαχείρισής σας ή οποιοδήποτε ιδιωτικό μέρος του ιστότοπού σας. Αν το email μου ανέφερε μια συγκεκριμένη έκδοση ή ζήτημα ασφαλείας, αυτό προήλθε από την ανάγνωση εκείνου του ενός δημόσιου αρχείου, όχι από δοκιμή οτιδήποτε.

Αν θέλετε να επαληθεύσετε ποιος είμαι, δείτε τα στοιχεία επικοινωνίας στο κάτω μέρος αυτής της σελίδας και τη σελίδα Σχετικά.

Γιατί αυτό έχει σημασία

Η Joomla 3.x έφτασε στο τέλος κύκλου ζωής στις 17 Αυγούστου 2023. Οι προηγούμενοι κλάδοι (2.5, 1.5) έφτασαν στο τέλος κύκλου ζωής χρόνια πριν από αυτό. Το τέλος κύκλου ζωής σημαίνει ότι το έργο Joomla δεν εκδίδει πλέον διορθώσεις ασφαλείας για αυτόν τον κλάδο καθόλου, ούτε καν για σοβαρές, δημόσια γνωστές ευπάθειες. Νέες αδυναμίες που εντοπίζονται μετά την ημερομηνία τέλους κύκλου ζωής απλώς δεν διορθώνονται ποτέ για την έκδοσή σας.

Οι επιτιθέμενοι σαρώνουν ενεργά το διαδίκτυο για ιστότοπους που εκτελούν αυτές τις εκδόσεις χωρίς υποστήριξη, επειδή οι ευπάθειες είναι καλά τεκμηριωμένες και εύκολο να εντοπιστούν. Στα συνήθη αποτελέσματα περιλαμβάνονται η παραμόρφωση ιστότοπου (οι σελίδες σας αντικαθίστανται ή τροποποιούνται), η έγχυση spam, και η χρήση του ιστότοπου για φιλοξενία κακόβουλου περιεχομένου. Αν το email μου ανέφερε μια συγκεκριμένη CVE, σημαίνει ότι η έκδοση που αναφέρει ο ιστότοπός σας εμπίπτει στο εύρος που είναι γνωστό ότι επηρεάζει αυτό το ζήτημα. Δεν δοκίμασα αν ο συγκεκριμένος ιστότοπός σας είναι εκμεταλλεύσιμος, μόνο ότι αναφέρει μια επηρεαζόμενη έκδοση.

Τα καλά νέα: η μετάβαση σε μια υποστηριζόμενη έκδοση κλείνει αυτά τα κενά, και υπάρχει ένα καλά τεκμηριωμένο μονοπάτι αναβάθμισης.

Παραδείγματα γνωστών ευπαθειών

Ακολουθούν μερικές από τις δημόσια τεκμηριωμένες, υψηλής σοβαρότητας ευπάθειες που επηρεάζουν τους κλάδους Joomla 3.x (και παλαιότερους) σε τέλος κύκλου ζωής. Επειδή αυτές οι εκδόσεις δεν υποστηρίζονται, ζητήματα όπως αυτά δεν διορθώνονται ποτέ, και οι τεχνικές λεπτομέρειες είναι ευρέως δημοσιευμένες:

  • CVE-2015-8562: απομακρυσμένη εκτέλεση κώδικα χωρίς έλεγχο ταυτότητας μέσω έγχυσης αντικειμένου PHP, που επηρεάζει τη Joomla 1.5.x έως 3.4.5. Αυτή αξιοποιήθηκε ενεργά στην πράξη.
  • CVE-2017-8917: κρίσιμη (CVSS 9.8) SQL injection στη Joomla 3.7.0.
  • CVE-2016-8869: κρίσιμη (CVSS 9.8) κλιμάκωση προνομίων μέσω του στοιχείου εγγραφής χρηστών, σε εκδόσεις πριν από την 3.6.4.
  • CVE-2016-8870: μη εξουσιοδοτημένη δημιουργία λογαριασμού ακόμη και όταν η εγγραφή είναι απενεργοποιημένη, σε εκδόσεις πριν από την 3.6.4.
  • CVE-2015-7857: SQL injection στο στοιχείο ιστορικού περιεχομένου, που επηρεάζει τη Joomla 3.2 έως 3.4.4.

Αν το email μου ανέφερε μια συγκεκριμένη CVE, θα είναι μία σαν αυτές: ένα δημόσια γνωστό ζήτημα του οποίου το εύρος επηρεαζόμενων εκδόσεων περιλαμβάνει την έκδοση που αναφέρει ο ιστότοπός σας.

Πώς να ελέγξετε την έκδοσή σας

Δεν χρειάζεται να με πιστέψετε για το ποια έκδοση χρησιμοποιείτε.

Από το δημόσιο μανιφέστο (δεν απαιτείται σύνδεση): ανοίξτε το yourdomain.com/administrator/manifests/files/joomla.xml σε ένα πρόγραμμα περιήγησης. Η γραμμή <version> είναι η έγκυρη έκδοση του πυρήνα, και αυτό είναι το ίδιο αρχείο που διάβασα.

Από την περιοχή διαχείρισης (αν έχετε πρόσβαση):

  1. Συνδεθείτε στη διαχείριση Joomla (συνήθως στο yourdomain.com/administrator).
  2. Ανοίξτε το System, έπειτα κοιτάξτε τον πίνακα System Information / πίνακα ελέγχου, ο οποίος εμφανίζει την έκδοση Joomla.

Αν η κύρια έκδοση είναι 3, 2.5 ή 1.5, βρίσκεστε σε έναν κλάδο σε τέλος κύκλου ζωής και θα πρέπει να αναβαθμίσετε.

Πώς να αναβαθμίσετε

Οι τρέχουσες υποστηριζόμενες κύριες εκδόσεις είναι Joomla 4 και Joomla 5. Πάντα κρατήστε αντίγραφο ασφαλείας πρώτα (αρχεία και βάση δεδομένων) πριν κάνετε αλλαγές. Οι περισσότεροι πάροχοι φιλοξενίας προσφέρουν αντίγραφα ασφαλείας με ένα κλικ, ή μπορείτε να χρησιμοποιήσετε μια επέκταση αντιγράφων ασφαλείας Joomla.

Το συνιστώμενο μονοπάτι από τη Joomla 3 είναι:

  1. Ενημερώστε πρώτα στην τελευταία Joomla 3.10.x. Η σειρά 3.10 περιλαμβάνει έναν ενσωματωμένο Έλεγχο πριν από την ενημέρωση (στο στοιχείο Joomla Update) που επισημαίνει τυχόν επεκτάσεις ή πρότυπα που δεν είναι ακόμη συμβατά με τη Joomla 4.
  2. Επιλύστε τις μη συμβατές επεκτάσεις/πρότυπα που αναφέρει. Ενημερώστε τα σε εκδόσεις συμβατές με Joomla 4/5, ή βρείτε αντικαταστάσεις.
  3. Εκτελέστε τη μετάβαση στη Joomla 4, έπειτα ενημερώστε παραπέρα στη Joomla 5, από Components → Joomla Update στη διαχείριση.
  4. Οι σύνδεσμοι λήψης και η τρέχουσα έκδοση είναι πάντα στο επίσημο έργο: https://downloads.joomla.org.
  5. Μετά την αναβάθμιση, επιβεβαιώστε τη νέα έκδοση χρησιμοποιώντας τα παραπάνω βήματα και ελέγξτε ότι ο ιστότοπός σας φορτώνει και επεξεργάζεται κανονικά.

Αν ο ιστότοπός σας είναι πολύ παλιός (Joomla 1.5 ή 2.5), το άλμα είναι μεγαλύτερο και συχνά γίνεται καλύτερα ως μια νέα εγκατάσταση Joomla 5 με το περιεχόμενό σας μεταφερμένο σε αυτήν. Ένας επαγγελματίας του web μπορεί να το κάνει γρήγορα.

Ενόσω το κάνετε, ενημερώστε και τις επεκτάσεις και το πρότυπό σας, καθώς η ίδια αρχή “χωρίς υποστήριξη σημαίνει χωρίς διόρθωση” ισχύει για όλα τους.

Δεν έχω webmaster / έχω κολλήσει

Αν δεν είστε το άτομο που συντηρεί τον ιστότοπο, παρακαλώ προωθήστε αυτή τη σελίδα σε όποιον το κάνει (τον προγραμματιστή σας, το πρακτορείο ή τον πάροχο φιλοξενίας σας). Θα αναγνωρίσουν τα παραπάνω βήματα γρήγορα.

Αν συντηρείτε τον ιστότοπο μόνοι σας και κολλήσετε, με χαρά θα σας βοηθήσω να κατευθυνθείτε προς τη σωστή κατεύθυνση χωρίς κόστος. Επικοινωνήστε χρησιμοποιώντας τα παρακάτω στοιχεία επικοινωνίας.

Επικοινωνία

Evan Harris, Ερευνητής Ασφαλείας

Έρχομαι σε επαφή για ζητήματα όπως αυτό αποκλειστικά για να βοηθήσω τους διαχειριστές να ασφαλίσουν τους ιστότοπούς τους. Αν προτιμάτε να μην επικοινωνήσω ξανά μαζί σας, απλώς ενημερώστε με και θα το σεβαστώ.

Αναφορές

Επίσημες πηγές Joomla

Σύνοψη τρίτων

  • endoflife.date: Joomla (ενοποιημένος πίνακας ημερομηνιών τέλους κύκλου ζωής της Joomla)