Powiadomienie o nieobsługiwanej wersji Joomla
Jeśli otrzymałeś ode mnie wiadomość e-mail kierującą Cię na tę stronę, to dlatego, że Twoja witryna najwyraźniej korzysta z nieobsługiwanej już wersji Joomla, systemu zarządzania treścią, na którym zbudowana jest Twoja strona. Ta strona wyjaśnia, dlaczego to ważne i jak temu zaradzić.
Czy ta wiadomość jest wiarygodna?
Tak. Jest to powiadomienie w dobrej wierze, zgodne z zasadą odpowiedzialnego ujawniania, od niezależnego badacza bezpieczeństwa. Nie proszę Cię o pieniądze, hasła ani dostęp do Twojej strony, i nie próbowałem się do niej włamać ani niczego wykorzystać.
Jedyne, co zrobiłem, to odczytanie publicznego pliku, który Twoja witryna udostępnia każdemu odwiedzającemu, manifestu wersji Joomla, i odnotowanie numeru wersji, który on publikuje. Jest to ta sama publiczna część Twojej strony co Twoja strona główna. Nic w tym sprawdzeniu nie dotyka Twoich danych, Twojego panelu administracyjnego ani żadnej prywatnej części Twojej strony. Jeśli moja wiadomość e-mail wskazywała konkretną wersję lub problem bezpieczeństwa, pochodziło to z odczytania tego jednego publicznego pliku, a nie z testowania czegokolwiek.
Jeśli chcesz zweryfikować, kim jestem, zobacz dane kontaktowe na dole tej strony oraz stronę O tej stronie.
Dlaczego to ważne
Joomla 3.x osiągnęła koniec wsparcia 17 sierpnia 2023 r.. Wcześniejsze gałęzie (2.5, 1.5) osiągnęły koniec wsparcia wiele lat wcześniej. Koniec wsparcia oznacza, że projekt Joomla w ogóle nie wydaje już poprawek bezpieczeństwa dla tej gałęzi, nawet w przypadku poważnych, publicznie znanych podatności. Nowe luki wykryte po dacie zakończenia wsparcia po prostu nigdy nie są łatane dla Twojej wersji.
Atakujący aktywnie przeszukują internet w poszukiwaniu stron korzystających z tych nieobsługiwanych wersji, ponieważ podatności są dobrze udokumentowane i łatwe do znalezienia. Do częstych skutków należą podmiana wyglądu strony (Twoje strony zostają zastąpione lub zmienione), wstrzykiwanie spamu oraz wykorzystywanie strony do hostowania złośliwych treści. Jeśli moja wiadomość e-mail przywołała konkretne CVE, oznacza to, że wersja, którą zgłasza Twoja strona, mieści się w zakresie, którego ten problem, jak wiadomo, dotyczy. Nie testowałem, czy Twoja konkretna strona jest podatna na wykorzystanie, a jedynie to, że zgłasza wersję, której dotyczy problem.
Dobra wiadomość: przejście na wspierane wydanie zamyka te luki, a droga aktualizacji jest dobrze udokumentowana.
Przykłady znanych podatności
Oto kilka publicznie udokumentowanych podatności o wysokiej wadze, które dotyczą nieobsługiwanych już gałęzi Joomla 3.x (i wcześniejszych). Ponieważ te wersje nie są już wspierane, problemy takie jak te nigdy nie są łatane, a szczegóły techniczne są szeroko publikowane:
- CVE-2015-8562: nieuwierzytelnione zdalne wykonanie kodu poprzez wstrzyknięcie obiektu PHP, dotyczy Joomla 1.5.x do 3.4.5. Było aktywnie wykorzystywane w praktyce.
- CVE-2017-8917: krytyczne (CVSS 9.8) wstrzyknięcie SQL w Joomla 3.7.0.
- CVE-2016-8869: krytyczne (CVSS 9.8) podniesienie uprawnień poprzez komponent rejestracji użytkowników, w wersjach starszych niż 3.6.4.
- CVE-2016-8870: nieautoryzowane tworzenie kont nawet przy wyłączonej rejestracji, w wersjach starszych niż 3.6.4.
- CVE-2015-7857: wstrzyknięcie SQL w komponencie historii treści, dotyczy Joomla 3.2 do 3.4.4.
Jeśli moja wiadomość e-mail przywołała konkretne CVE, będzie ono podobne do tych: publicznie znany problem, którego zakres dotkniętych wersji obejmuje wersję zgłaszaną przez Twoją stronę.
Jak sprawdzić swoją wersję
Nie musisz wierzyć mi na słowo co do tego, z jakiej wersji korzystasz.
Z publicznego manifestu (bez logowania): otwórz
twojadomena.pl/administrator/manifests/files/joomla.xml w przeglądarce. Wiersz <version>
to miarodajna wersja rdzenia, i jest to ten sam plik, który odczytałem.
Z panelu administracyjnego (jeśli masz dostęp):
- Zaloguj się do administracji Joomla (zwykle pod adresem
twojadomena.pl/administrator). - Otwórz System, a następnie spójrz na panel Informacje o systemie / pulpit, który pokazuje wersję Joomla.
Jeśli wersja główna to 3, 2.5 lub 1.5, znajdujesz się na nieobsługiwanej już gałęzi i powinieneś zaktualizować.
Jak zaktualizować
Aktualnie wspierane wydania główne to Joomla 4 i Joomla 5. Zawsze najpierw utwórz kopię zapasową (pliki i baza danych) przed wprowadzeniem zmian; większość hostów oferuje kopie zapasowe jednym kliknięciem, albo możesz skorzystać z rozszerzenia do tworzenia kopii zapasowych Joomla.
Zalecana droga z Joomla 3 wygląda tak:
- Najpierw zaktualizuj do najnowszej Joomla 3.10.x. Seria 3.10 zawiera wbudowane Sprawdzenie przed aktualizacją (w komponencie Aktualizacja Joomla), które oznacza wszelkie rozszerzenia lub szablony niezgodne jeszcze z Joomla 4.
- Rozwiąż zgłoszone niezgodne rozszerzenia/szablony. Zaktualizuj je do wersji zgodnych z Joomla 4/5 lub znajdź zamienniki.
- Przeprowadź migrację do Joomla 4, a następnie zaktualizuj dalej do Joomla 5, z poziomu Komponenty → Aktualizacja Joomla w administracji.
- Odnośniki do pobrania i aktualne wydanie zawsze znajdziesz w oficjalnym projekcie: https://downloads.joomla.org.
- Po aktualizacji potwierdź nową wersję zgodnie z powyższymi krokami i sprawdź, czy Twoja strona wczytuje się i pozwala na edycję jak zwykle.
Jeśli Twoja strona jest bardzo stara (Joomla 1.5 lub 2.5), skok jest większy i często najlepiej wykonać go jako świeżą budowę Joomla 5 z przeniesioną treścią. Specjalista od stron internetowych może to zrobić szybko.
Przy tej okazji zaktualizuj również swoje rozszerzenia i szablon, ponieważ ta sama zasada (“nieobsługiwane oznacza niezałatane”) dotyczy ich wszystkich.
Nie mam webmastera / utknąłem
Jeśli nie jesteś osobą, która utrzymuje stronę, prześlij tę stronę temu, kto to robi (Twojemu deweloperowi, agencji lub dostawcy hostingu). Szybko rozpoznają powyższe kroki.
Jeśli sam utrzymujesz stronę i utkniesz, chętnie pomogę Ci wskazać właściwy kierunek, bezpłatnie. Skontaktuj się, korzystając z danych kontaktowych poniżej.
Kontakt
Evan Harris, badacz bezpieczeństwa
- E-mail: security@mail.mcpsec.dev
- X: @Evan__Harris
- GitHub: eharris128
- LinkedIn: Evan Harris
Kontaktuję się w sprawach takich jak ta wyłącznie po to, by pomóc operatorom zabezpieczyć ich strony. Jeśli wolisz nie być więcej kontaktowany, po prostu daj mi znać, a uszanuję to.
Źródła
Oficjalne źródła Joomla
- Mapa rozwoju Joomla CMS (polityka wsparcia i końca wsparcia: każda wersja główna jest wspierana przez co najmniej cztery lata)
- Joomla Developer Network: mapa wydań (aktualnie wspierane wersje główne)
- Ogłoszenie Joomla potwierdzające zakończenie wsparcia bezpieczeństwa dla Joomla 3.10 z dniem 17 sierpnia 2023 r.
- Wymagania techniczne Joomla (dla aktualnie wspieranych wydań)
Podsumowanie zewnętrzne
- endoflife.date: Joomla (zbiorcza tabela dat końca wsparcia Joomla)