Open source software is net als gesloten programmatuur vatbaar voor fouten, bugs en kwetsbaarheden. Soms blijken gaten al jaren open te staan, zoals nu is ontdekt in het open source CMS Joomla. Updaten is de boodschap!
Het gaat om een kritiek beveiligingsgat, waarmee kwaadwillenden op afstand eigen code kunnen uitvoeren op servers waar Joomla op draait. Het veelgebruikte open source CMS (content management) systeem vormt zo een acuut gevaar. De ontwikkelaars van Joomla zijn op 13 december ingelicht door de ontdekkers en hebben een dag later al een fix uitgebracht. Daarmee zijn niet alle Joomla-installaties meteen veilig. Beheerders, webdevelopers en andere gebruikers moeten wel updaten.
Alarmbel luiden
De Joomla-ontwikkelaars hebben vlak voor de release van hun fix al wel de boodschap doen uitgaan dat ze met een zeer belangrijke software-update zouden komen. ‘We brengen vanwege een kritieke securityzwakte Joomla! 3.4.6 vandaag uit! Sta klaar om te updaten en de boodschap te verspreiden!’, luidde
de waarschuwing.
De vooraankondiging, de uitroeptekens en de diverse
oproepen zijn niet voor niets. De ontdekte kwetsbaarheid wordt in de praktijk namelijk al misbruikt.
Volgens de ontdekkers, in dienst bij webbeveiligingsbedrijf Sucuri, lopen de aanvallen al zeker twee dagen voordat de snel ontwikkelde patch uitkwam. Bovendien nemen de aanvallen toe, wist techblog Ars Technica te
melden op de releasedag van de fix.
Ideaal gapend gat
Het beveiligingsgat is voor kwaadwillenden namelijk haast te mooi om waar te zijn. Het zit én in een veelgebruikt pakket én is op afstand te misbruiken én geeft gelijk de mogelijkheid eigen code uit te voeren op andermans servers én blijkt al bijna acht jaar oud te zijn. Dat laatste zorgt ervoor dat er een breed scala aan doelwitten is, waarop de diverse getroffen Joomla-versies draaien.
De bug in kwestie gaat helemaal terug tot aan de 1.5-release van Joomla. Die oude en officieel allang niet meer ondersteunde versie in in januari 2008
uitgebracht. Sindsdien zijn er diverse vervolgversies verschenen en is in april 2012
aangekondigd dat de 1.5-reeks end-of-life (eol) was. Daarbij zijn grote securitykwesties nog aangepakt tot september 2012, toen de 3.0-release is verschenen.
Legacyproblemen
In de praktijk doen verouderde installaties van Joomla nog dienst. Het updaten daarvan kan een flinke migratieklus inhouden, mede doordat er inmiddels geen direct upgradepad meer is naar de meest courante versie. Het nu patchen van die oudere versies is echter ook geen sinecure. Officieel worden zowel de 1.5-reeks als ook de opvolgende 2.5-serie niet meer ondersteund. Onofficiële fixes voor de oude releases zijn inmiddels wel verschenen. Sucuri verwijst naar een korte handleiding van OSTraining om die hotfixes toe te passen. Gebruikers die op de 3.4-reeks zitten, dienen meteen te updaten naar de gloednieuwe 3.4.6-release.
bron: computable.nl