Obavijest o Joomli kojoj je istekao životni ciklus
Ako ste od mene primili e-poštu koja vas upućuje na ovu stranicu, to je zato što vaše web-mjesto, čini se, koristi verziju Joomle kojoj je istekao životni ciklus, sustav za upravljanje sadržajem na kojem je izgrađeno vaše web-mjesto. Ova stranica objašnjava zašto je to važno i kako to popraviti.
Je li ova poruka vjerodostojna?
Da. Ovo je dobronamjerna obavijest po načelu odgovorne objave od neovisnog istraživača sigurnosti. Ne tražim od vas novac, lozinke ni pristup vašem web-mjestu i nisam pokušavao provaliti u njega niti bilo što iskoristiti.
Sve što sam učinio jest da sam pročitao javnu datoteku koju vaše web-mjesto poslužuje svakom posjetitelju, manifest verzije Joomle, i zabilježio broj verzije koji ona objavljuje. To je jednako javni dio vašeg web-mjesta kao i vaša naslovnica. Ništa u ovoj provjeri ne dira vaše podatke, vašu administratorsku zonu ni bilo koji privatni dio vašeg web-mjesta. Ako je moja e-pošta navela konkretnu verziju ili sigurnosni problem, to proizlazi iz čitanja te jedne javne datoteke, a ne iz testiranja bilo čega.
Ako želite provjeriti tko sam, pogledajte kontaktne podatke na dnu ove stranice i stranicu O meni.
Zašto je ovo važno
Joomli 3.x istekao je životni ciklus 17. kolovoza 2023. Ranije grane (2.5, 1.5) dosegle su kraj životnog ciklusa još godinama prije toga. Kraj životnog ciklusa znači da projekt Joomla više uopće ne izdaje sigurnosne ispravke za tu granu, čak ni za ozbiljne, javno poznate ranjivosti. Nove greške pronađene nakon datuma isteka životnog ciklusa jednostavno se nikad ne zakrpaju za vašu verziju.
Napadači aktivno pretražuju internet u potrazi za web-mjestima koja koriste te nepodržane verzije, jer su ranjivosti dobro dokumentirane i lako ih je pronaći. Česti ishodi uključuju oštećenje web-mjesta (vaše stranice biva zamijenjene ili izmijenjene), ubacivanje neželjene pošte i korištenje web-mjesta za smještaj zlonamjernog sadržaja. Ako je moja e-pošta navela konkretan CVE, to znači da verzija koju vaše web-mjesto prijavljuje spada u raspon za koji je poznato da ga taj problem zahvaća. Nisam testirao je li vaše konkretno web-mjesto iskoristivo, samo da prijavljuje zahvaćenu verziju.
Dobra vijest: prelazak na podržano izdanje zatvara te propuste, a postoji dobro dokumentiran put nadogradnje.
Primjeri poznatih ranjivosti
Ovo je nekoliko javno dokumentiranih ranjivosti visoke ozbiljnosti koje zahvaćaju grane Joomle 3.x (i ranije) kojima je istekao životni ciklus. Budući da te verzije nisu podržane, problemi poput ovih nikad se ne zakrpaju, a tehnički su detalji naširoko objavljeni:
- CVE-2015-8562: neautenticirano udaljeno izvršavanje koda putem injekcije PHP objekata, zahvaća Joomlu od 1.5.x do 3.4.5. Aktivno se iskorištavala u stvarnim uvjetima.
- CVE-2017-8917: kritična (CVSS 9.8) SQL injekcija u Joomli 3.7.0.
- CVE-2016-8869: kritično (CVSS 9.8) povišenje ovlasti kroz komponentu za registraciju korisnika, u verzijama prije 3.6.4.
- CVE-2016-8870: neovlašteno stvaranje računa čak i kada je registracija onemogućena, u verzijama prije 3.6.4.
- CVE-2015-7857: SQL injekcija u komponenti povijesti sadržaja, zahvaća Joomlu od 3.2 do 3.4.4.
Ako je moja e-pošta navela konkretan CVE, bit će to jedan poput ovih: javno poznat problem čiji raspon zahvaćenih verzija uključuje verziju koju vaše web-mjesto prijavljuje.
Kako provjeriti svoju verziju
Ne morate mi vjerovati na riječ o tome koju verziju koristite.
Iz javnog manifesta (prijava nije potrebna): otvorite u pregledniku
yourdomain.com/administrator/manifests/files/joomla.xml. Redak <version> mjerodavna je
verzija jezgre, a to je ista datoteka koju sam ja pročitao.
Iz administratorske zone (ako imate pristup):
- Prijavite se u svoju Joomla administraciju (obično na
yourdomain.com/administrator). - Otvorite System, zatim pogledajte ploču System Information / nadzornu ploču, koja prikazuje verziju Joomle.
Ako je glavna verzija 3, 2.5 ili 1.5, nalazite se na grani kojoj je istekao životni ciklus i trebali biste se nadograditi.
Kako se nadograditi
Trenutačna podržana glavna izdanja jesu Joomla 4 i Joomla 5. Uvijek prvo napravite sigurnosnu kopiju (datoteke i baza podataka) prije unošenja izmjena; većina hostera nudi sigurnosne kopije jednim klikom, ili možete upotrijebiti proširenje za sigurnosno kopiranje Joomle.
Preporučeni put od Joomle 3 jest:
- Prvo se ažurirajte na najnoviju Joomlu 3.10.x. Serija 3.10 uključuje ugrađenu provjeru prije ažuriranja (Pre-Update Check, u komponenti Joomla Update) koja označava sva proširenja ili predloške koji još nisu kompatibilni s Joomlom 4.
- Riješite nekompatibilna proširenja/predloške koje ona prijavi. Ažurirajte ih na verzije kompatibilne s Joomlom 4/5 ili pronađite zamjene.
- Pokrenite migraciju na Joomlu 4, zatim se ažurirajte dalje na Joomlu 5, preko Components → Joomla Update u administraciji.
- Poveznice za preuzimanje i trenutačno izdanje uvijek su dostupni na službenom projektu: https://downloads.joomla.org.
- Nakon nadogradnje potvrdite novu verziju prema gornjim koracima i provjerite da se vaše web-mjesto normalno učitava i uređuje.
Ako je vaše web-mjesto vrlo staro (Joomla 1.5 ili 2.5), skok je veći i često ga je najbolje izvesti kao novu izgradnju Joomle 5 uz migrirani sadržaj. Web-profesionalac to može učiniti brzo.
Dok ste već pri tome, ažurirajte i svoja proširenja i predložak, budući da isto načelo “nepodržano znači nezakrpano” vrijedi za sve njih.
Nemam webmastera / zapeo sam
Ako niste osoba koja održava web-mjesto, molim vas proslijedite ovu stranicu onome tko to radi (vašem web-programeru, agenciji ili pružatelju usluga hostinga). Oni će brzo prepoznati gornje korake.
Ako sami održavate web-mjesto i zapnete, rado ću vam besplatno pomoći usmjeriti vas u pravom smjeru. Javite se koristeći kontaktne podatke u nastavku.
Kontakt
Evan Harris, istraživač sigurnosti
- E-pošta: security@mail.mcpsec.dev
- X: @Evan__Harris
- GitHub: eharris128
- LinkedIn: Evan Harris
Obraćam se u vezi s ovakvim problemima isključivo kako bih pomogao operaterima osigurati njihova web-mjesta. Ako biste radije da vas se više ne kontaktira, samo mi javite i to ću poštovati.
Reference
Službeni izvori Joomle
- Razvojni plan za Joomla CMS (politika podrške i kraja životnog ciklusa: svaka glavna verzija podržana je najmanje četiri godine)
- Joomla Developer Network: plan izdanja (trenutačno podržane glavne verzije)
- Objava Joomle koja potvrđuje da je sigurnosna podrška za Joomlu 3.10 završila 17. kolovoza 2023.
- Tehnički zahtjevi Joomle (za trenutačno podržana izdanja)
Sažetak treće strane
- endoflife.date: Joomla (objedinjena tablica datuma kraja životnog ciklusa Joomle)