Auf SecurityFocus wurde ein Sicherheitshinweis veröffentlicht, der Nutzer von Joomla 1.0.13 und 1.0.14 betrifft, wenn diese ihre Installation von einer früheren Joomla-Version upgedatet haben.

Bei diesem Update werden in der Regel nur geänderte Dateien aufgespielt und die configuration.php nicht angepasst. Und genau da liegt das Problem.

Joomla benutzt einen eigenen Mechanismus, um das Verhalten in bezug auf globale PHP-Variablen zu emulieren. Dies wurde bis Version 1.0.12 über die Datei globals.php gesteuert, wie ich hier beschrieben habe.

Seit Joomla 1.0.13 findet diese Prüfung nicht mehr in der globals.php statt, sondern über die configuration.php. In Zeile 37 der mitgelieferten Beispieldatei configuration.php-dist findet sich folgendes:

if(!defined('RG_EMULATION')) { define( 'RG_EMULATION', 0 ); } // Off by default for security

Wer aber von einer früheren Joomla-Version upgedatet hat, der hat üblicherweise seine alte Konfigurationsdatei unverändert übernommen. Damit ist die Emulation der globalen Variablen indirekt wieder aktiviert - ganz gleich, ob die globals.php geändert wurde. Die Joomla-Installation wird damit für Angriffe über bestimmte Parameter in der URL (wie z.B. mosConfig_absolute_path) verwundbar.

Wer allerdings auf Apache die mitgelieferte .htaccess-Datei einsetzt, muss sich weniger Sorgen machen, da sie bereits dafür sorgt, dass Angriffe dieser Art abgeblockt werden. Trotzdem sollte der Vollständigkeit halber auch in einem solchen Fall die configuration.php angepasst werden.

Kommentare (8)

RSS feed Kommentare

Bei mir stehts drin,
geschrieben von Martin, 15.02.2008

undzwar auf meinen beiden Seiten, die eine hab ich von 1.0.12 upgedatet, die andere war eine 1.0.13 Installation. Steht direkt in der 2. Zeile.

Gruß, Martin

...
geschrieben von Admin, 15.02.2008

Hallo Martin,

gut. Vielleicht hast Du auf Deiner von 1.0.12 upgedateten Seite seither mal die Global Config bearbeitet und dann gespeichert?

Viele Grüße,
Klaus

Also
geschrieben von Marko Master, 16.02.2008

ich habe im Forum folgendes gelesen:


Wie bekannt sein sollte, deaktiviert man Joomla während des Updatens. Wenn man es nach dem Update reaktiviert, respektive die Global Config speichert, werden die dazugekommenen Parameter (in diesem Fall die RG On Emulation) automatisch in die configuration.php geschrieben.

Quelle: http://www.joomlaportal.de/590739-post37.html


Desweiteren gibt es vielleicht heute oder morgen die Joomla 1.015

Quelle: http://www.joomlaportal.de/590836-post39.html

Denn laut Cybergurk Eintrages, hat die Joomlaversion einen schweren Bug...wenn mich meine schlechten Englischkenntnisse nicht trüben.


Mfg Marko Master

...
geschrieben von Admin, 17.02.2008

Hallo Marko,

das mit dem Deaktivieren kann man aber auch machen, indem man den Offline-Eintrag in der configuration.php von Hand auf 1 setzt. Wenn man die configuration.php dann anschließend wieder händisch bearbeitet, um die Seite online zu setzen, wird nichts automatisch dazugeschrieben.

Das direkte Editieren geht viel schneller als erst die Administration und die Global Config aufzurufen, ich mache es z.B. nur so.

Die Verwundbarkeit, die in dem zweiten Posting von Achim erwähnt ist, ist genau das Problem, das ich in diesem Artikel beschrieben habe.

Viele Grüße,
Klaus

Automatik
geschrieben von Frank, 19.02.2008

Nach einem Blick in die Konfiguration und einer Aktivierung der entsprechenden Passage wurde dieser Part automatisch in die configuration.php geschrieben. Und glücklicherweise weist Joomla beim Backend-Besuch genau darauf hin - wer es übersieht, braucht sich nicht zu beschweren.

...
geschrieben von Admin, 20.02.2008

Hallo Frank,

das ist schon richtig ... aber wir wissen doch, wie es manchmal mit dem Lesen ist.

Viele Grüße,
Klaus

sollte eigentlich selbstversändlich sein
geschrieben von Octane, 23.02.2008

Das Speichern der Global Configuration nach einem Update sollte eigentlich selbstverständlich sein. Ich mache das jedesmal. Schon bei einem früheren Update wurden da neue Optionen eingefügt. Ach ja und das mit dem Offline nehmen während des Updates... das mache ich nie und hatte noch nie Probleme. Das ist wohl nur auf den wwwrun Problemservern nötig.

;-)
geschrieben von Milos, 03.05.2008

wer lesen kann ist klar im Vorteil

Autor

E-Mail

Webseite

Titel

Kommentar

kleiner | groesser

Kommentar hinzufügen