Hohe Wellen hat die aktuelle CSRF Sicherheitslücke in den Joomla 1.0.x Versionen geschlagen. Die Cross-Site-Request-Forgery-Schwachstelle (CSRF) ermöglicht dem Angreifer über eine präparierte Webseite einen Super Admin Account anzulegen und damit die Kontrolle über Joomla zu übernehmen. Bekanntlich wurde dies mit der neuen Joomla 1.0.14 Version gefixt, die noch im RC Stadium ist. Es gibt interessante Alternativen zum nicht unbedingt einfachen Upgrade auf Joomla 1.0.14.

Die Cross-Site-Request-Forgery-Schwachstelle

Der Joomla Experte Phil Taylor schreibt in seinem Blog , dass die Joomla Versionen 1.5 und 1.0.14 gegen Angriffe über CSRF deutlich verstärkt („hardened“) worden sind – er betont dabei aber, dass man Angriffe über CSRF technisch bedingt nicht vollkommen bstellen kann. Zudem macht Phil Taylor klar, dass nicht nur das in die Schlagzeilen geratene Joomla, sondern auch viele andere Webapplicationen von der CSRF Problematik betroffen sind.

Überraschend und interessant, den die meisten Joomla Webmaster denken sich sicherlich, dass die CSRF Problematik mit Joomla 1.5 oder Joomla 1.0.14 komplett aus der Welt geschafft ist.

Upgrade auf Joomla 1.0.14 RC

Abgesehen von einigen kleineren Problemen, scheint der Release Candidate von Joomla 1.0.14 gut zu laufen. Damit ist das Upgrade die wohl einfachste Alternative die CSRF Schwachstelle so gut es geht abzustellen. Aber nicht jede Joomla Webseite kann einfach so auf Joomla 1.0.14 umgestellt werden. Insbesondere größere Webseiten, auf denen viele Core Elemente (index.php & Co.) individuell angepasst wurden , werden beim Umstieg Probleme bekommen. Schließlich beinhaltet Joomla 1.0.14 nicht nur einen Security Patch, sondern optimiert viele verschiedene Funktionen.

Meine Empfehlung also: Schaut Euch den Inhalt der Upgrade ZIP Datei einmal genauer an. Habt ihr entsprechende Dateien manipuliert? Wisst Ihr noch, was Ihr genau verändert habt? Ich selbst habe so eine Joomla Leiche im Keller, die aktuell zwar wunderbar läuft, aber wohl kaum ohne riesigen Zeitaufwand auf Joomla 1.0.14 umzustellen ist. Zum Glück gibt es gute Alternativen.

Der inoffizielle CSRF Patch

Per Zufall bin ich über das Angebot von Mediahof gestoßen – Mediahof bietet einen Patch für Joomla 1.0.13 Versionen an, der genau die CSRF Schwäche bekämpfen soll. Durch eine beeindruckend einfache Änderung in der Datei

administrator/components/com_users/admin.users.php

realisiert Mediahof eine Anweisung, die prüft, „ob die Anfrage von der selben URL (okay) oder von einer anderen URL (cross-site) abgesendet wurde“.  Gerade einmal fünf Codezeilen als Lösung für das Problem. Inwieweit dieser Patch seine beabsichtigte Wirkung auch erzielt, kann natürlich nur ein Joomla Profi beurteilen. Mediahof scheint sein Handwerk aber absolut zu verstehen, so dass ich den Patch ebenfalls ausprobieren werde. Vielen Dank für den unkomplizierten CSRF Patch!

Die Ideallösung gegen CSRF: Prism

Phil Taylor schwärmte in seinem Blog so sehr von Prism, dass ich es ebenfalls ausprobiert habe. Und ich muss ihm Recht geben: Ein wirklich tolle Software, die jeder Joomla Webmaster zumindest einmal ausprobiert haben sollte. Aber was bringt Prism?

Prism ist laut Taylor der 100%tige Schutz gegen CSRF Attacken.  Prism beruht auf dem bekannten FireFox Browser und wird ebenfalls von der Mozilla Foundation entwickelt  - aktuell noch in Prototypen Status, dennoch läuft es schon wunderbar und problemlos. Das Grundprinzip besteht darin, dass Webapplikationen wie z.B. das Joomla Backend auf dem Rechner ausgeführt werden – isoliert in einer geschlossenen Umgebung. So wird das Joomla Backend quasi zu einer Desktop Anwendung, was ein deutliches Plus in Sachen Sicherheit mit sich bringt. Die Installation und Einrichtung ist kinderleicht und intuitiv. Einziges Manko: Das Joomla Backend Passwort muss bei jedem Login eingegeben werden, was bei extrem langen und komplizierten Passwörtern ein Spaß ist. Sicherlich wird Prism aber auch diese Problematik noch lösen. Fazit: Ausprobieren .  

joomla template xtypo yigg version google blog templates code backup dies    

Kommentare

Neuer Kommentar Suche RSS

seven  - Referer   ID:89.12.132.xxx 03-02-2008 16:06:35 Hallo, ein interessanter Artikel, doch eins stört: Der "Mediahof-Patch" funktioniert nur, wenn der Referer mitgesendet wird. Das habe nicht nur ich deaktiviert, die Norton-Produkte bspw. machen das von Haus aus. Bleibt die Alternative mit Prism, die kling interessant und wird ausprobiert. Danke für die Infos und weiter so :) P.S.: Das Captcha ist nur mit Lupe zu erkennen. Antworten | Zitat 1   1

Joomla Blog  - Tnx für den Hinweis!   ID:217.235.138.xxx 03-02-2008 16:19:09 Hi Seven, tnx für dein Kommentar! Du hast absolut Recht - dies ist ein nicht unerheblicher Nachteil, der damit für eine bestimmte Nutzergruppe entsteht. Ich habe den Mediahof-Patch nun auf 2 Joomla 1.0.13 Seiten im Einsatz und habe keine Probleme beobachten können. Ich nutze FireFox 2.0.11 und GData AntiVirus 2008. Hmm, das Captcha ist wirklich unglaublich schlecht lesbar :) Vlt. kaufe ich auch für Joomla Blog eine JomComment Lizenz - mal sehn. Antworten | Zitat 1   0

Anonym   ID:84.61.44.xxx 03-02-2008 18:58:37 Zitat: Hmm, das Captcha ist wirklich unglaublich schlecht lesbar :) Vlt. kaufe ich auch für Joomla Blog eine JomComment Lizenz - mal sehn. Hi, es geht auch kostenlos... http://www.joomlatune.com/ Antworten | Zitat 1   0

seven  - ooooops   ID:89.12.132.xxx 03-02-2008 20:34:53 ... und wegen mir musst Du nichts kaufen. Man gewöhnt sich daran. Antworten | Zitat 0   0

Joomla Blog   ID:217.235.138.xxx 03-02-2008 20:40:39 tnx @ Anonym! Hatte von JComments bis jetzt noch nichts gehört - ich schaue es mir mal genauer an. @ seven: naja, schön wäre die Trackback Funktion JomComment schon ;) Leider wird die hier zum Einsatz kommende Kommentar Komponente !JoomlaComment an dem Mini Captcha in der kommenden 3.2 Version nichts ändern... Ansonsten ist !JoomlaComment nämlich absolut zu empfehlen. Viele Grüße! Antworten | Zitat 0   0

Kommentar schreiben
Name:
Email:	benachrichtigennicht benachrichtigen
Website:
Titel:
UBBCode:	-Farbe-AquaSchwarzBlauFuchsiaGrauGrünHellgrünBraunMarineblauOlivPurpurrotRotSilberBlaugrünWeissGelb -Grösse-winzigkleinmittelgrossriesig
	Bitte den Anti-Spam Code eingeben.

Powered by !JoomlaComment 3.26

3.26 Copyright (C) 2008 Compojoom.com / Copyright (C) 2007 Alain Georgette / Copyright (C) 2006 Frantisek Hliva. All rights reserved."

Nächster Artikel: >> SEF URLs - sh404SEF, Artio JoomSEF oder JoomlaSEF ?.

Vorheriger Artikel: >> Backup & Datensicherung für Joomla.