Avviso su Joomla a fine vita
Se avete ricevuto un’email da parte mia che vi indirizza a questa pagina, è perché il vostro sito sembra utilizzare una versione di Joomla a fine vita, il sistema di gestione dei contenuti su cui è costruito il vostro sito. Questa pagina spiega perché è importante e come correggere il problema.
Questo messaggio è legittimo?
Sì. Si tratta di un avviso in buona fede, secondo il principio della divulgazione responsabile, da parte di un ricercatore di sicurezza indipendente. Non vi chiedo denaro, password o accesso al vostro sito, e non ho tentato di introdurmi in esso o di sfruttare alcunché.
Tutto ciò che ho fatto è stato leggere un file pubblico che il vostro sito fornisce a ogni visitatore, un manifesto di versione di Joomla, e annotare il numero di versione che esso pubblica. Si tratta della stessa parte pubblica del vostro sito della vostra homepage. Nulla di questo controllo tocca i vostri dati, la vostra area di amministrazione o alcuna parte privata del vostro sito. Se la mia email ha indicato una versione o un problema di sicurezza specifico, ciò deriva dalla lettura di quell’unico file pubblico, non dal test di alcunché.
Se desiderate verificare chi sono, consultate i recapiti in fondo a questa pagina e la pagina Informazioni.
Perché è importante
Joomla 3.x ha raggiunto la fine vita il 17 agosto 2023. I rami precedenti (2.5, 1.5) hanno raggiunto la fine vita anni prima. Fine vita significa che il progetto Joomla non rilascia più alcuna correzione di sicurezza per quel ramo, nemmeno per vulnerabilità gravi e pubblicamente note. Le nuove falle scoperte dopo la data di fine vita semplicemente non vengono mai corrette per la vostra versione.
Gli aggressori scandagliano attivamente internet alla ricerca di siti che utilizzano queste versioni non supportate, perché le vulnerabilità sono ben documentate e facili da individuare. Gli esiti comuni includono la deturpazione del sito (defacement: le vostre pagine vengono sostituite o alterate), l’iniezione di spam e l’utilizzo del sito per ospitare contenuti malevoli. Se la mia email ha citato una CVE specifica, significa che la versione segnalata dal vostro sito rientra nell’intervallo che quel problema è noto interessare. Non ho verificato se il vostro sito in particolare sia sfruttabile, ma solo che segnala una versione interessata.
La buona notizia: passare a una versione supportata chiude queste falle, ed esiste un percorso di aggiornamento ben documentato.
Esempi di vulnerabilità note
Ecco alcune delle vulnerabilità pubblicamente documentate e ad alta gravità che interessano i rami di Joomla 3.x (e precedenti) a fine vita. Poiché queste versioni non sono supportate, problemi come questi non vengono mai corretti, e i dettagli tecnici sono ampiamente pubblicati:
- CVE-2015-8562: esecuzione di codice remoto non autenticata tramite iniezione di oggetti PHP, interessa Joomla dalla 1.5.x alla 3.4.5. È stata attivamente sfruttata in rete.
- CVE-2017-8917: SQL injection critica (CVSS 9.8) in Joomla 3.7.0.
- CVE-2016-8869: escalation di privilegi critica (CVSS 9.8) tramite il componente di registrazione degli utenti, nelle versioni precedenti alla 3.6.4.
- CVE-2016-8870: creazione di account non autorizzata anche quando la registrazione è disabilitata, nelle versioni precedenti alla 3.6.4.
- CVE-2015-7857: SQL injection nel componente della cronologia dei contenuti, interessa Joomla dalla 3.2 alla 3.4.4.
Se la mia email ha citato una CVE specifica, sarà una come queste: un problema pubblicamente noto il cui intervallo di versioni interessate include la versione segnalata dal vostro sito.
Come verificare la vostra versione
Non dovete credermi sulla parola riguardo alla versione che state utilizzando.
Dal manifesto pubblico (nessun accesso necessario): aprite
vostrodominio.it/administrator/manifests/files/joomla.xml in un browser. La riga
<version> è la versione principale autorevole, ed è lo stesso file che ho letto.
Dall’area di amministrazione (se avete accesso):
- Accedete all’amministrazione di Joomla (di solito all’indirizzo
vostrodominio.it/administrator). - Aprite Sistema, poi guardate il pannello Informazioni di sistema / dashboard, che mostra la versione di Joomla.
Se la versione principale è 3, 2.5 o 1.5, vi trovate su un ramo a fine vita e dovreste aggiornare.
Come aggiornare
Le versioni principali attualmente supportate sono Joomla 4 e Joomla 5. Eseguite sempre prima un backup (file e database) prima di apportare modifiche; la maggior parte dei provider di hosting offre backup con un clic, oppure potete usare un’estensione di backup per Joomla.
Il percorso consigliato a partire da Joomla 3 è:
- Aggiornate innanzitutto all’ultima versione Joomla 3.10.x. La serie 3.10 include una verifica pre-aggiornamento integrata (nel componente Aggiornamento di Joomla) che segnala tutte le estensioni o i template non ancora compatibili con Joomla 4.
- Risolvete le estensioni/template incompatibili che segnala. Aggiornateli a versioni compatibili con Joomla 4/5, oppure trovate delle sostituzioni.
- Eseguite la migrazione a Joomla 4, poi aggiornate ulteriormente a Joomla 5, da Componenti → Aggiornamento di Joomla nell’amministrazione.
- I link di download e la versione attuale sono sempre disponibili presso il progetto ufficiale: https://downloads.joomla.org.
- Dopo l’aggiornamento, confermate la nuova versione seguendo i passaggi sopra e verificate che il vostro sito si carichi e si modifichi normalmente.
Se il vostro sito è molto vecchio (Joomla 1.5 o 2.5), il salto è più grande ed è spesso meglio realizzarlo come una nuova installazione di Joomla 5 con i vostri contenuti migrati. Un professionista del web può farlo rapidamente.
Già che ci siete, aggiornate anche le vostre estensioni e il vostro template, poiché lo stesso principio (“non supportato significa non corretto”) vale per tutti.
Non ho un webmaster / sono bloccato
Se non siete la persona che gestisce il sito, inoltrate questa pagina a chi lo fa (il vostro sviluppatore web, la vostra agenzia o il vostro provider di hosting). Riconosceranno rapidamente i passaggi sopra.
Se gestite il sito da soli e vi bloccate, sarò lieto di aiutarvi a orientarvi nella direzione giusta senza alcun costo. Contattatemi usando i recapiti sottostanti.
Contatti
Evan Harris, Ricercatore di sicurezza
- Email: security@mail.mcpsec.dev
- X: @Evan__Harris
- GitHub: eharris128
- LinkedIn: Evan Harris
Contatto gli operatori riguardo a problemi come questo unicamente per aiutarli a mettere in sicurezza i loro siti. Se preferite non essere contattati di nuovo, ditemelo e rispetterò la vostra richiesta.
Riferimenti
Fonti ufficiali di Joomla
- Roadmap di sviluppo del CMS Joomla (politica di supporto e fine vita: ogni versione principale è supportata per almeno quattro anni)
- Joomla Developer Network: roadmap dei rilasci (versioni principali attualmente supportate)
- Annuncio di Joomla che conferma la fine del supporto di sicurezza per Joomla 3.10 il 17 agosto 2023
- Requisiti tecnici di Joomla (per le versioni attualmente supportate)
Riepilogo di terze parti
- endoflife.date: Joomla (tabella consolidata delle date di fine vita di Joomla)