Σήμερα λάβαμε γνώση μιας αναφοράς του Check Point Research σχετικά με ένα πρόβλημα ασφάλειας που έχει επιλυθεί από το Δεκέμβριο του 2015.
Πρόκειται για αναφορά με μεγάλες ανακρίβειες που αντιμετωπίζουν την συγκεκριμένη περίπτωση ως τρέχουσα ευπάθεια. Το παρόν κείμενο επιχειρεί να διευκρινίσει το ζήτημα και να διαβεβαιώσει τους χρήστες του joomla ότι δεν πρόκειται για υφιστάμενη ευπάθεια..
Συγκεκριμένα, είναι αναγκαίο να διευκρινιστεί το παρακάτω:
- Δεν υπάρχει θέμα ασφάλειας με την JMail class.
- Το αναφερόμενο θέμα αφορά κυρίως την PHP και όχι το Joomla
- Μια σχετική επίθεση μπορεί να πετύχει μόνον αν χρησιμοποιούνται εκδόσεις PHP και Joomla, χωρίς αναβάθμιση εδώ και 3 χρόνια (οι εκδόσεις PHP 5.4.45, 5.5.29, 5.6.13 και μεταγενέστερες έχουν επιλύσει τη συγκεκριμένη ευπάθεια). Διαβάστε εδώ το σχετικό κείμενο, για την ανάγκη οι ιστοσελίδες να είναι πάντα ενημερωμένες.
- Εκδόσεις που αντιμετωπίζουν το συγκεκριμένο πρόβλημα έχουν δημοσιευθεί εδώ και τρία χρόνια, από τον Δεκέμβριο του 2015
- Το αρχείο που αναφέρεται στην αναφορά του Check Point δεν είναι ένα αρχείο πυρήνα του Joomla, αλλά πρόκειται για ένα αντίγραφο της αρχικής κλάσης που χρησιμοποιεί ο εισβολέας για να αποκρύψει ένα backdoor
- Τo συγκεκριμένο αρχείο δεν παρακάμπτει την κλαση JMail του πυρήνα του Joomla
- https://developer.joomla.org/security-centre/639-20151206-core-session-hardening.html
- https://bugs.php.net/bug.php?id=70219
Χρησιμοποιώντας αυτό το ζήτημα, ένας εισβολέας μπορεί να ενσωματώσει ένα backdoor στον ιστότοπο, το οποίο μπορεί να χρησιμοποιηθεί για κακόβουλη δραστηριότητα. Προκειμένου να μην μπορεί εύκολα να εντοπισθεί, οι επιτιθέμενοι συχνά χρησιμοποιούν αντίγραφα πραγματικών αρχείων εφαρμογών (στην περίπτωση αυτή αντίγραφο της κλάσης αλληλογραφίας του Joomla) για να ενσωματώσουν τον κακόβουλο κώδικα. Αυτά τα αντίγραφα δεν θα χρησιμοποιηθούν ποτέ στην κανονική εκτέλεση της εφαρμογής, οπότε δεν υπάρχει καμία "παράκαμψη" όπως ισχυρίζεται στην αναφορά, απλώς χρησιμοποίησαν το αρχείο ώστε να δημιουργήσουν το backdoor.
