UND-Online Newsletter Archiv

Schwachstellen in Joomla Komponenten!



Sehr geehrte Kundin,
sehr geehrter Kunde,

die nachfolgenden Informationen sind für Sie relevant, sofern Sie
im Rahmen Ihrer Web-Präsenz das Content-Management-System Joomla!
einsetzen. Bitte beachten Sie in diesem Falle dringend die
nachfolgenden Informationen und nehmen Sie umgehend die nötigen
Updates vor, da es bereits mehrere Missbrauchsfälle gegeben hat!

Server-Kunden und Reseller möchten wir bitten, die nachfolgenden
Informationen auch an Ihre Benutzer weiterzuleiten!

[ HINWEIS:
[ Bitte antworten Sie nicht auf diese Mail!
[ Bei Rückfragen wenden Sie sich bitte an
[ Technik@Und-Online.de!
[
[ News-Übersicht: www.News.Und-Online.de



O======[ Schwachstellen in Joomla-Erweiterungen:

In den letzten Tagen haben wir vermehrt erfolgreiche Angriffe auf
Joomla-Installationen verzeichnet. Dabei wurden bislang unbekannte
Schwachstellen Joomla-Erweiterungen (Extensions) von
Drittherstellern ausgenutzt, die von den Benutzern nachträglich
in Joomla eingebunden wurden.

Die eigentliche Joomla-Basisinstallation ist NICHT betroffen, sofern
Sie die derzeit aktuellste Joomla-Version 1.5.15 einsetzen. Sofern
Sie eine niedrigere Version einsetzen, nehmen Sie bitte zunächst
dringend ein Update der Anwendung selbst vor und aktualisieren Sie
anschließend alle nachgeladenen Software-Erweiterungen.

Derzeit bekannte Sicherheitslücken in Joomla-Erweiterungen finden
Sie u. a. hier:

http://www.exploit-db.com/list.php?page=0&description=Joomla&platform=&type=webapps&port=&author=&osvdb=&cve=

(sofern der Link in Ihrem Mailprogramm unterbrochen wurde, kopieren
Sie bitte die einzelnen Teile ohne Leerzeichen in die Adresszeile
Ihres Browsers)

Bitte aktualisieren Sie unbedingt ALLE von Ihnen derzeit eingesetzten
Joomla-Erweiterungen. Nicht genutzte Extensions sollten Sie generell
deinstallieren!




O======[ Häufige Angriffe auf "com_rokdownloads" & "com_sectionex"

Besonders häufig wurden in den letzten Tagen die Schwachstellen in
den folgenden Komponenten ausgenutzt:

- "com_sectionex" und
- "com_rokdownloads"

Beide Hersteller wurden von uns bereits informiert. Für die Komponente
"com_rokdownloads" steht eine bereinigte Version 1.0 zum Download auf
der Herstellerseite bereit:

http://www.rockettheme.com/extensions-downloads/club/1008-rokdownloads

Die "com_sectionex" Erweiterung sollte sofort deinstalliert werden und
ist momentan noch verwundbar!




O======[ Wie können Sie einen Angriff erkennen?

Sofern Sie bei uns eigene RootServer betreiben, können Sie die
Apache-Domainlogfiles nach typischen Angriffsspuren untersuchen.
Eine typische Zeile für einen Angriff auf "com_sectionex" sieht so aus:

XXXXXXXXXXX.user.veloxzone.com.br - - [15/Mar/2010:23:55:52 +0100] "GET
/<pfad>/component/option,com_sectionex/Itemid,88/?option=com_sectionex&c
ontroller=../../../../../../../../../../../../proc/self/environ%00?
HTTP/1.1" 200 1992 "-" "<? shell_exec(\"echo -e
'\\x3C\\x3F\\x20\\x73\\x79\\x73\\x74\\x65\\x6D\\x28\\x24\\x5F\\x47\\x45\
\x54\\x5B\\x63\\x6D\\x64\\x5D\\x29\\x20\\x3F\\x3E'>a.php\"); ?>"

Erkennbar an dem "shell_exec" im Useragenten und den vielen "../" in der
Controllerangabe. Andere Komponenten würden sich hier nur durch die Kennung
des Moduls bei der "options"-Angabe unterscheiden

z.B.: "?option=com_rokdownloads&controller=../.."


Sollten Sie bei uns ein WebPaket oder virtuellen Reseller-Server angemietet
haben, können Sie die Apache-Logfiles nicht selbst einsehen. In diesem Falle
prüfen Sie bitte Ihre Installation und nehmen Sie schnellstmöglich die nötigen
Updates vor. Sofern Sie auf Ihrem WebSpace Account eine Datei mit dem Namen
"a.php" finden, könnte dies ein Hinweis auf einen Hack sein. Bitte kontaktieren
Sie in diesem Falle unseren Support: www.Support.Und-Online.de





O======[ Bitte auch andere Anwendungen regelmäßig aktualisieren!

Unabhängig von den aktuellen Joomla-Schwachstellen möchten wir alle Benutzer
und WebMaster bitten, auch sonstige, selbst installierte Anwendungen und
Scripts unbedingt regelmäßig zu aktualisieren. Schwachstellen werden bei nahezu
allen Anwendungen fortlaufend bekannt (z.B. Typo3, WordPress, Forensoftware
usw.). Bitte informieren Sie sich beim Hersteller nach Updates!

Bedenken Sie, dass im Falle von Hacks von Ihrer WebPräsenz ausgehend
Straftaten verübt werden können (Computerkriminalität, Spam, Phishing,
weitere Hacks usw.), für die Sie haftbar gemacht werden können. Versäumen
Sie daher nicht in fahrlässiger Weise die gebotenen Updates Ihrer Anwendungen.
Dritten können andernfalls durch Ihre WebPräsenz erhebliche (Vermögens-)
Schäden entstehen!


[ HINWEIS:
[ Bitte antworten Sie nicht auf diese Mail!
[ Bei Rückfragen wenden Sie sich bitte an
[ Technik@Und-Online.de!
[
[ News-Übersicht: www.News.Und-Online.de


O============== [ Mailadresse loeschen ] ==============O

Sollten Sie bei UNDs KEINE Leistungen mehr nutzen und diese Nachricht versehentlich erhalten haben, klicken Sie bitte auf den nachfolgenden Link. Wir werden den Vorgang pruefen und Ihre Daten im Falle einer Kuendigung aller Leistung aus unserem Verteiler entfernen:

mailto:Vertrieb@Und-Online.de?subject=Kein_Kunde&body=loeschen

Senden Sie alternativ eine E-Mail von der Absenderadresse an der Sie die o. a. Kundeninformation erhalten haben und bitten Sie um Loeschung Ihrer Adresse!


Vielen Dank für Ihre Bemühungen.

Mit den besten Grüßen von UND
Ihrem Internet Service Provider

Customer Care Service
Umkircher Network Dienste
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
Umkircher Network Dienste | Im Stöckacker 9 | D-79224 Umkirch
Fon: 0180-5445172-898 | Fax: 0180-5445172-353
(Service-Nummern nur EUR 0,12/Min.)
http://www.und-online.de | mailto:info@und-online.de
************************************************************
Online-Support:
http://support.und-online.de (kostenlos)
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++