Security release: Joomla! 1.5.6 [Vusani] vrijgegeven

[Sander]

Citaat:

Zojuist is Joomla! 1.5.6 [Vusani] vrijgegeven. Deze versie is eerder vrijgegeven dan gepland vanwege het ontdekken van een groot veiligheidslek. Door een fout in het reset mechanisme is het voor een willekeurige bezoeker mogelijk het wachtwoord van de user met de laagste userid te resetten. Doordat dit standaard vanuit Joomla! de administrator is kan dit een groot gevaar opleveren.

Dit probleem geldt voor alle eerdere versies van de Joomla! 1.5.x serie, 1.5.0 t/m 1.5.5, en het is aan te raden direct te upgraden.

Een snelle tijdelijke oplossing is de rechten van de user met de laagste userid zo aan te passen dat deze geen toegang heeft tot de backend. Om het probleem volledig op te lossen is het aan te raden de Joomla! installatie direct naar 1.5.6 te upgraden.

Dit probleem is gemeld dankzij Marijke, lid van het Joomla! Bug Squad Team en teamlid van DutchJoomla. Zij kon dit doen dankzij de hulp van enkele leden van DutchJoomla: prale, Bole, nozema en adje. Allen bedankt voor de melding!

Klik hier voor het volledige nieuwsbericht.

F.A.Q.

Is het belangrijk om direct naar deze versie te upgraden?
Ja, als je dit niet doet loop je een zeer grote kans gehacked te worden.

Voor welke versies geldt het veiligheidsprobleem?
Voor de gehele eerder verschenen Joomla! 1.5 serie, versie 1.5.0 t/m 1.5.5.

Kan mijn Joomla! 1.0.x site op gelijke wijze worden gehacked?
Nee, deze specifieke hack is alleen toe te passen op Joomla! 1.5.

Is er een snelle tijdelijke oplossing?
Ja, pas de toegangsrechten van de gebruiker met laagste userid (vaak 62) aan zodat deze geen toegang heeft tot de backend. Zorg er wel voor dat je zelf toegang behoud.

Waar vind ik de upgrade pakketten/patches?
In onze downloadsectie.

Kan ik zulke veiligheid en updates meldingen per mail ontvangen?
Ja dat kan, abboneer je op het Veiligheid & updates meldingen forum door hier te klikken. Je zult voortaan bij een nieuwe update een email ontvangen.

Ik ben helaas te laat en mijn site is gehacked, wat nu?
Als je site het slachtoffer is geworden van een hack kun je wellicht deze handleiding gebruiken om je site weer te herstellen.

[Willebil]

noot: bijgevoegde patch wordt niet officieel door het Joomla! team ondersteund en afgeraden, update packages zijn ondertussen beschikbaar, aangeraden wordt deze te gebruiken.

[Sander]

Nu inderdaad wel, zie http://joomlacode.org/gf/project/joo...ackage_id=3883 voor Engelse versies.
Nederlandse volgens spoedig.
Bijgevoegde patch is dan ook weer verwijderd.

[Sander]

Inmiddels staan de Nederlandstalige patches en taalbestanden In onze downloadsectie.

[MarijkeS]

Graag wil ik enige toelichting geven bij deze release daar ook mijn naam wordt genoemd als melder van het veiligheidslek.

Gisteravond ontving ik per PM een bericht van Bole die mij wees op een topic gestart door prale waarin duidelijk was dat er een lek was.
Na dit getest te hebben heb ik onmiddellijk de leden van het Joomla Bug Squadteam hierover ingelicht.

Voor de duidelijkheid, de meldingen en het topic over de bug hebben we vrij snel nadat het gepost was verwijderd. Dit vooral om veiligheidsredenen. De mensen die de bug gemeld hebben zijn hierover ook ingelicht op dat moment.

Onvoorstelbaar snel reageerden een groot aantal bugsquadleden en coreleden en was er binnen no-time een patch die al binnen een uur getest was. Daarna werd gelijk de releaseprocedure in gang gezet.

Ik wil dan ook de Joomla! bugsquadleden en coreteamleden bedanken voor hun zeer snelle reactie, metname Anthony Ferrara en Wilco Jansen.

[tigi]

3 kwartier wakker, 7 upgrades en een koffietje verder, allemaal bedankt voor de oplettendheid en supersnelle oplossing!

Extra info: gelukkig is het een klein updateje en bij mijn sites is het probleemloos verlopen.

[Bole]

Super dat dit zo snel opgelost is! Ik was inderdaad het topic kwijt, maar had al zo'n vermoeden waarom dit was...

Nu zo snel mogelijk alle site's updaten, dan zit het weer goed

hiermee spreek ik mijn waardering uit voor de adequate manier waarop het DJ-team gereageerd heeft toen gisteravond de berichten binnensijpelden over het 'lek'.
Dankzij het nachtwerk van Marijke S, Sander P. e.a. kunnen we weer veilig verder met Joomal!
Dit voorval heeft ook nog eens aangetoond hoe belangrijk het is om als administrator de standaard login username 'admin' meteen aan te passen bij de installatie in bijvoorbeeld: admin_... gevolgd door een letter en/of cijferreeks (bijvoorbeeld je geboortedatum o.i.d.). Dan kunnen hackers die je wachtwoord hebben toch geen schade aanrichten.
Ad
PS update van 1.5.5.-> 1.5.6 liep probleemloos

Inderdaad een geweldige prestatie! Super dat ook het coreteam zo snel heeft gereageerd!!

[Sander]

Dank je Adje, ook voor je begrip vannacht.

Citaat:

Origineel geplaatst door adje

Dit voorval heeft ook nog eens aangetoond hoe belangrijk het is om als administrator de standaard login username 'admin' meteen aan te passen bij de installatie in bijvoorbeeld: admin_... gevolgd door een letter en/of cijferreeks (bijvoorbeeld je geboortedatum o.i.d.). Dan kunnen hackers die je wachtwoord hebben toch geen schade aanrichten.

Klopt, al zul je dan wel wat werk in de database moeten verichten om je wachtwoord te herstellen.
Bij het lek wordt er gebruik gemaakt van de laagste userid. Omdat je na installatie automatisch een admin account aanmaakt welke de eerste user is heeft deze de laagste userid.
Een andere manier was dus geweest een nieuwe admin account aan te maken, en de eerste account te 'verlagen' tot gewone user.