Heute einmal außer der Reihe und für uns bislang eher unüblich ein Hinweis auf potentielle Sicherheitslücken in Joomla-Installationen, die unseren Kolleginnen und Kollegen der technischen Abteilung in den letzten Tagen viel Arbeit bei der Unterstützung der betroffenen Kunden verursachen.
Die Bereinigung ist auch für Sie als Kunde mit viel Aufwand verbunden und nicht immer ist einfach die Wiederherstellung einer sauberen Installation aus Backups erfolgreich, z.B. wenn die Infektion der Seiten schon länger zurückliegt.
Wir empfehlen daher dringend, sich um aktuelle Installationen der von Ihnen eingesetzten Software zu bemühen und verweisen auch auf die dazu vorhandenen zusätzlichen Sicherheitstipps aus früheren Blogartikeln zum Thema Sicherheit wie etwa:
– Sicherheit auf dem Webserver erhöhen
– Wie finde ich infizierte Dateien bzw. säubere sie?
Denken Sie bitte bei Updates auch an installierte Erweiterungen und überprüfen diese ebenfalls auf Aktualität. Wird eine Erweiterung nicht mehr benötigt, entfernen Sie diese bitte.
Derzeit ist das Admin-Template ein Angriffsziel veralteter Joomla-Installationen. Betroffen ist beispielsweise die Version 2.5.6 aber auch andere. Die Lücke ist zudem schon länger bekannt und in den aktuellen Versionen bereits geschlossen. Bitte prüfen Sie die von Ihnen eingesetzte Version und aktualisieren diese zeitnah auf eine der derzeit aktuellen Versionen:
- Joomla 3.0.2
- Joomla 2.5.8
- Joomla 1.5.26 -> Nutzern dieser Version empfehlen wir ein Upgrade auf den Versionszweig 2.5 Bitte beachten Sie auch die Hinweise in den Kommentaren.
Auch der JCE-Editor, sofern man diesen installiert hat, ist zur Zeit eine Quelle für Angriffe. Ein Update auf die Version JCE 2.3.1 oder alternativ die Deaktivierung und Nutzung des Joomla-eigenen Editors schaffen Abhilfe.
Über den Autor
Dietmar ist seit 2005 bei domainFACTORY in wechselnden Aufgabenbereichen tätig. Seit 2013 unterstützt er als "Spezialist Qualitätssicherung Web" die Kollegen in der Entwicklungsabteilung bei allen Themen rund um Quality Assurance / Testing. Dabei kommt ihm die jahrelange Erfahrung im direkten und indirekten Kundensupport und der Begleitung bei der Einführung unseres ResellerProfessional-Systems zu Gute. Auch für viele Kollegen ist er bei Fragen dazu oder sehr alten Tarif-Konstellationen noch immer gerne eine Anlaufstelle.
Zu erwähnen wäre noch, dass es bei Joomla! 1.5.x nicht mit einem einfachen Update getan ist. Es ist eine aufwändige Migration nach 2.5.x notwendig, da es umfangreiche Änderungen gab.
Hier der entsprechende Joomla! Docs Eintrag: http://docs.joomla.org/Migrating_from_Joomla_1.5_to_Joomla_2.5
Ebenfalls zu beachten ist, dass natürlich auch sämtliche Komponenten und Module/Plug-Ins erneuert bzw. teils ersetzt werden müssen. Kleiner Tip, der einigen Ärger erspart: Wenn man nach obiger Anleitung vorgeht unbedingt vor der Migration alle Zusatz-Module und Komponenten von Drittherstellern deaktivieren. Desweiteren sollte man beachten dass jUpgrade bei der Migration den Standard Datenbank-Präfix verwendet! Also vorher in der Datenbank prüfen ob eventuell gleichlautende Tabellen einer anderen Joomla! Installation vorhanden sind, sonst werden diese überschrieben.
Zu guter letzt muss höchstwahrscheinlich auch noch das verwendete Template angepasst werden. Auch hierfür gibt es einen Joomla! Docs Eintrag: http://docs.joomla.org/Upgrading_a_Joomla_1.5_template_to_Joomla_2.5
Bei Joomla! 2.5.x und höher dagegen ist ein Update ohne weiteres über die in Joomla! integrierte Update-Funktion möglich.
Umsteiger sollten zudem beachten, dass es nicht sinnvoll ist auf 3.x upzudaten, denn diese ist eine Short-Term-Support (STS) Version. Erst Joomla! 3.5.x wird wieder eine Long-Term-Support (LTS) Version sein.
Ich habe nun in den letzten beiden Wochen mindestens 14 Joomla Seiten bereinigt und es nimmt keine Ende. Dabei ist in vielen Fällen nicht mal Joomla schuld, sondern ein veraltete Erweiterung. Letztendlich unterliegt der Seitenbetreiber einer Sorgfaltspflicht und sollte sein System aktuell halten. Würde man ein Teil der Energie die wir für die Pflege unserer Autos investieren in Joomla fliessen, hätten wir diese Probleme nicht!
Es gibt aber auch Seiten die gehackt wurden, weil der Server nicht gut war – das trifft aber nicht auf df zu 🙂
Hallo zusammen,
ein Upgrade auf 2.5 ist leider tatsächlich nicht so leicht, wie es oben beschrieben wurde. Komfortabel sieht leider in der Tat anders aus 🙁 Dennoch finden wir, dass Nutzer älterer Versionen sich zwangsläufig damit auseinandersetzen müssen und nichts anderes war unsere Intention des Blogartikels.
Auch sollte Joomla nicht als an sich unsicher angeprangert werden o.ä. weshalb wir auch allgemein auf die Notwendigkeit der Prüfung auf Aktualität auch von Erweiterungen hingewiesen und auf die Reihe zum Thema Sicherheit aus November verwiesen haben.
Auch bei anderen Systemen treten immer wieder Probleme durch korrumpierte Dateien auf. In der Mehrheit durch veraltete Installationen 🙁
Auch ich war leider die letzten Tage oft damit beschäftigt Webseiten mühevoll wieder zu bereinigen!
Ein Upgrade auf 2.5 ist derweil leider nicht einfach wenn man leihe ist.
Ich empfehle das von Personen machen zu lassen, die sich damit auch ein wenig auskennen!
Grüße
André
P.S.: Danke an df für den Hinweis!
Vielleicht auch von interesse: Ein Liste mit gefährdeten Joomla Erweiterungen – http://www.joomla-security.de/sicherheitsmeldungen/unsichere-erweiterungen.html
brauchen express billigen guten joomlaupdater für div joomlasites und versionen
Hier ist ein solcher Updater zu finden: http://extensions.joomla.org/extension/sp-upgrade