Jeśli otrzymałeś ode mnie wiadomość e-mail kierującą Cię na tę stronę, to dlatego, że Twoja witryna najwyraźniej korzysta z nieobsługiwanej już wersji Joomla, systemu zarządzania treścią, na którym zbudowana jest Twoja strona. Ta strona wyjaśnia, dlaczego to ważne i jak temu zaradzić.

Czy ta wiadomość jest wiarygodna?

Tak. Jest to powiadomienie w dobrej wierze, zgodne z zasadą odpowiedzialnego ujawniania, od niezależnego badacza bezpieczeństwa. Nie proszę Cię o pieniądze, hasła ani dostęp do Twojej strony, i nie próbowałem się do niej włamać ani niczego wykorzystać.

Jedyne, co zrobiłem, to odczytanie publicznego pliku, który Twoja witryna udostępnia każdemu odwiedzającemu, manifestu wersji Joomla, i odnotowanie numeru wersji, który on publikuje. Jest to ta sama publiczna część Twojej strony co Twoja strona główna. Nic w tym sprawdzeniu nie dotyka Twoich danych, Twojego panelu administracyjnego ani żadnej prywatnej części Twojej strony. Jeśli moja wiadomość e-mail wskazywała konkretną wersję lub problem bezpieczeństwa, pochodziło to z odczytania tego jednego publicznego pliku, a nie z testowania czegokolwiek.

Jeśli chcesz zweryfikować, kim jestem, zobacz dane kontaktowe na dole tej strony oraz stronę O tej stronie.

Dlaczego to ważne

Joomla 3.x osiągnęła koniec wsparcia 17 sierpnia 2023 r.. Wcześniejsze gałęzie (2.5, 1.5) osiągnęły koniec wsparcia wiele lat wcześniej. Koniec wsparcia oznacza, że projekt Joomla w ogóle nie wydaje już poprawek bezpieczeństwa dla tej gałęzi, nawet w przypadku poważnych, publicznie znanych podatności. Nowe luki wykryte po dacie zakończenia wsparcia po prostu nigdy nie są łatane dla Twojej wersji.

Atakujący aktywnie przeszukują internet w poszukiwaniu stron korzystających z tych nieobsługiwanych wersji, ponieważ podatności są dobrze udokumentowane i łatwe do znalezienia. Do częstych skutków należą podmiana wyglądu strony (Twoje strony zostają zastąpione lub zmienione), wstrzykiwanie spamu oraz wykorzystywanie strony do hostowania złośliwych treści. Jeśli moja wiadomość e-mail przywołała konkretne CVE, oznacza to, że wersja, którą zgłasza Twoja strona, mieści się w zakresie, którego ten problem, jak wiadomo, dotyczy. Nie testowałem, czy Twoja konkretna strona jest podatna na wykorzystanie, a jedynie to, że zgłasza wersję, której dotyczy problem.

Dobra wiadomość: przejście na wspierane wydanie zamyka te luki, a droga aktualizacji jest dobrze udokumentowana.

Przykłady znanych podatności

Oto kilka publicznie udokumentowanych podatności o wysokiej wadze, które dotyczą nieobsługiwanych już gałęzi Joomla 3.x (i wcześniejszych). Ponieważ te wersje nie są już wspierane, problemy takie jak te nigdy nie są łatane, a szczegóły techniczne są szeroko publikowane:

  • CVE-2015-8562: nieuwierzytelnione zdalne wykonanie kodu poprzez wstrzyknięcie obiektu PHP, dotyczy Joomla 1.5.x do 3.4.5. Było aktywnie wykorzystywane w praktyce.
  • CVE-2017-8917: krytyczne (CVSS 9.8) wstrzyknięcie SQL w Joomla 3.7.0.
  • CVE-2016-8869: krytyczne (CVSS 9.8) podniesienie uprawnień poprzez komponent rejestracji użytkowników, w wersjach starszych niż 3.6.4.
  • CVE-2016-8870: nieautoryzowane tworzenie kont nawet przy wyłączonej rejestracji, w wersjach starszych niż 3.6.4.
  • CVE-2015-7857: wstrzyknięcie SQL w komponencie historii treści, dotyczy Joomla 3.2 do 3.4.4.

Jeśli moja wiadomość e-mail przywołała konkretne CVE, będzie ono podobne do tych: publicznie znany problem, którego zakres dotkniętych wersji obejmuje wersję zgłaszaną przez Twoją stronę.

Jak sprawdzić swoją wersję

Nie musisz wierzyć mi na słowo co do tego, z jakiej wersji korzystasz.

Z publicznego manifestu (bez logowania): otwórz twojadomena.pl/administrator/manifests/files/joomla.xml w przeglądarce. Wiersz <version> to miarodajna wersja rdzenia, i jest to ten sam plik, który odczytałem.

Z panelu administracyjnego (jeśli masz dostęp):

  1. Zaloguj się do administracji Joomla (zwykle pod adresem twojadomena.pl/administrator).
  2. Otwórz System, a następnie spójrz na panel Informacje o systemie / pulpit, który pokazuje wersję Joomla.

Jeśli wersja główna to 3, 2.5 lub 1.5, znajdujesz się na nieobsługiwanej już gałęzi i powinieneś zaktualizować.

Jak zaktualizować

Aktualnie wspierane wydania główne to Joomla 4 i Joomla 5. Zawsze najpierw utwórz kopię zapasową (pliki i baza danych) przed wprowadzeniem zmian; większość hostów oferuje kopie zapasowe jednym kliknięciem, albo możesz skorzystać z rozszerzenia do tworzenia kopii zapasowych Joomla.

Zalecana droga z Joomla 3 wygląda tak:

  1. Najpierw zaktualizuj do najnowszej Joomla 3.10.x. Seria 3.10 zawiera wbudowane Sprawdzenie przed aktualizacją (w komponencie Aktualizacja Joomla), które oznacza wszelkie rozszerzenia lub szablony niezgodne jeszcze z Joomla 4.
  2. Rozwiąż zgłoszone niezgodne rozszerzenia/szablony. Zaktualizuj je do wersji zgodnych z Joomla 4/5 lub znajdź zamienniki.
  3. Przeprowadź migrację do Joomla 4, a następnie zaktualizuj dalej do Joomla 5, z poziomu Komponenty → Aktualizacja Joomla w administracji.
  4. Odnośniki do pobrania i aktualne wydanie zawsze znajdziesz w oficjalnym projekcie: https://downloads.joomla.org.
  5. Po aktualizacji potwierdź nową wersję zgodnie z powyższymi krokami i sprawdź, czy Twoja strona wczytuje się i pozwala na edycję jak zwykle.

Jeśli Twoja strona jest bardzo stara (Joomla 1.5 lub 2.5), skok jest większy i często najlepiej wykonać go jako świeżą budowę Joomla 5 z przeniesioną treścią. Specjalista od stron internetowych może to zrobić szybko.

Przy tej okazji zaktualizuj również swoje rozszerzenia i szablon, ponieważ ta sama zasada (“nieobsługiwane oznacza niezałatane”) dotyczy ich wszystkich.

Nie mam webmastera / utknąłem

Jeśli nie jesteś osobą, która utrzymuje stronę, prześlij tę stronę temu, kto to robi (Twojemu deweloperowi, agencji lub dostawcy hostingu). Szybko rozpoznają powyższe kroki.

Jeśli sam utrzymujesz stronę i utkniesz, chętnie pomogę Ci wskazać właściwy kierunek, bezpłatnie. Skontaktuj się, korzystając z danych kontaktowych poniżej.

Kontakt

Evan Harris, badacz bezpieczeństwa

Kontaktuję się w sprawach takich jak ta wyłącznie po to, by pomóc operatorom zabezpieczyć ich strony. Jeśli wolisz nie być więcej kontaktowany, po prostu daj mi znać, a uszanuję to.

Źródła

Oficjalne źródła Joomla

Podsumowanie zewnętrzne