Joomlaportal.fi

Pikainen tietoturvapäivitys heti 1.5.5:n jälkeen on julkaistu!!!

Lue lisää: http://www.joomla.org/content/view/5235/1/

Linkki päivitetty
http://www.joomla.org/announcements/release-news/5199-joomla-156-released.html

Kiitos tiedosta, nyt myös etusivulla uutinen.

Suosittelen kaikkia päivittämään mahdollisimman nopeasti. Ilman tuota päivitystä admin salasanan pääsee vaihtamaan käsittämättömän helposti ja sivusto on sen jälkeen pois hallinnasta.

Kiitos ripeästä toiminnasta tämän asian muistutuksen suhteen.

Joomla Security Blogista (http://developer.joomla.org/security/news/241-20080801-core-password-remind-functionality.html)


Eli ellet pääse päivittämään heti, niin paikkaa purukumilla:
- Rekisteröi uusi tunnus
- Kirjaudu Backendiin ja mene käyttäjien hallintaan
- Anna uudelle tunnukselle pääylläpitäjän oikeudet
- Kirjaudu ulos ja takaisin sisään uusilla tunnuksillasi
- Muuta entisen pääylläpitäjän oikeudet tavalliseksi rekisteröidyksi käyttäjäksi.

Tällä tavoin mahdollinen tietoturva-aukon hyväksikäyttäjä saa vain tavallisen rekisteröityneen käyttäjän oikeudet (matalin ID) ja oikea ylläpitäjän oikeuksilla varustettu tunnus on "turvassa" huomattavasti suuremmalla ID:llä.

Eilen olin mokkulan varassa ja en ehtinyt päivittää kaikkia sivustoja. Hakkeri iski! Suosittelen tosiaan, että päivittäkää sivunne nopsaan.

Tuosta voi lukaista kuinka tehokkaasti ja nopeasti Joomla! 1.5.6 tietoturva päivitys eteni ja tuli julkisuuteen.

How Joomla 1.5.6 came about (http://developer.joomla.org/coordinator-blog/245-how-joomla-156-came-about.html)

EDIT: tuollaista kovan luokan yhteistyötä on ilo seurata. Mukana oli noin kolmisenkymmentä henkilöä, jotka paikkasit aukon, testasivat yhteishengessä sekä julkaisivat tietoturvapäivityksen omasta mielestäni todella ripeästi sen havaittua... viestit ja sähköpostit lähtivät aika kiivaasti varmaankin tuona parin tunnin aikana.


Mortti

Koetin kirjautua hallintaoikeuksilla sivustolleni (Jomla versio 1.5.0), enkä päässyt sisään admin -oikeuksin.

En mielelläni aloittaisi sivuston tekoa aivan tyhjästä, vaan mieluusti murtautuisin omalle sivustolleni ja ottaisin admin -oikeudet takaisin ja päivittäisin sivuston vasta sitten.

Sivuille pääsy on kuulemma käsittämättömän helppoa, mutta kuulisin miellelläni, miten temppu oikein tehdään.

Vai onko kenelläkään esittää jotakin laillisempaa niksiä pulmaani. Pääsen toki sivuston sisältävään hakemistoon käsiksi FTP:llä, mutta siinäpä taitaa olla kaikki välineet, joita pääsen käyttämään.

Pieni päivitys: Hyökkäysohjeet löytyvät toki pikku kaivamisella netistä. Hyökkääjä on kuitenkin nähnyt sen verran vaivaa, että hän on poistanut tuon haavoittuvuuden ja metodin käyttö tuotti vain herjaavan tekstin.

Taidanpa siis vain panna pillit pussiin ja tehdä saitin uudelleen alusta asti.

Tero

Kai sinulla on jokin keino päästä tietokantaan kiinni? Sieltähän voit resetoida salasanan haluamaksesi.

http://developer.joomla.org/bug-squad-blog/244-recovering-the-administrator-password.html
http://docs.joomla.org/Administration_FAQs#How_do_I_recover_my_admin_password.3F

Mitähän keinoja tuohon mahtaa siis olla olemassa?

-Pete

Lue lisää: http://www.joomla.org/content/view/5235/1/

Tuosta linkistä pääsee vain sivulle

404 - Component not found

?

Uutinen oli kirjoitettu ennen kuin Joomla.org muutti ulkoasuaan ja samalla samalla päivittävät järjestelmänsä uuteen joomlaan.

Mortin linkki on siis nykyään melko varmasti tämä:
http://www.joomla.org/announcements/release-news/5199-joomla-156-released.html

Keinot löytyvät linkeistäni, eli esim. phpMyAdminilla (webisovellus) tai MySQL Administrator -työpöytäsovelluksella.

Kiitokset. Asensin tuon phpMyAdmin:n ja sain salasanan vaihdettua. Sitten ilmeisesti asentamaan tai päivittämään 1.5.6 mutta miten saa nuo muutokset takaisin. Onko mitään helppoa keinoa?

-Pete

tyhmä kysmä, mutta miten ois helpoiten joomla 1.5.3 päivitettävissä tuohon uusimpaan?
Sivuillani kun joku idiootti on käynyt hakkeroimassa niin kaiketi pakko toi päivitys on tehdä.


*huokaus*......

Helpoiten teet tuon kopioimalla päivitetyt tiedostot palvelimelle.

Järkevää olisi silti kopioida tiedostot varmuuden vuoksi myös itsellesi ennen päivitystä ja tutkailla ettei mitään ylimääräistä ole tullut joukkoon, vaihtaa tietokannan käyttäjän salasana yms. yms. yms.

Eli ei ole mitään oikopolkuja webimaailmassa.

Nonnii, niin mä vähä pelkäsinki ettei oikopolkuu oo...

Mutta kiitos tiedosta :)

Eipä taida olla mitään oikopolkua, meillä taitaa seuran sivut vaihtua tämän takia tuonne maksulliselle Sporttisaitille, Joomla! taitaa lähteä koska ei voida enää luottaa siihen. Valitettavasti, olihan tuo Ok järjestelmä niin kauan kuin sattui tämä tapaus. Omaa mokaahan tuossa oli se että olisihan tuon Joomlan! sitten ehtinyt päivittämäänkin jos ei olisi ollut kesälomilla tuolla korvessa. Jokin sähköposti tai mieluummin vaikka tekstiviesti Admineille kun tällaista sattuu olisi hyvä juttu, ei aina voi olla 24/7 sivuilla, varsinkaan kesällä.

-Pete

Jokainen päättää tietysti itse mitä järjestelmiä käyttää. Huomauttaisin kuitenkin vanhan totuuden että virheetöntä koodia ei ole olemassa. Mistä tahansa järjestelmästä voi löytyä vakava haavoittuvuus. Itselläni tämä tapaus vain vahvisti luottamusta Joomlaan. Tuo nopeus korjata näinkin laajan julkaisujärjestelmän vakava haavoittuvuus jo samana päivänä ja saattaa korjaava päivitys käyttäjille on varmasti maailmanennätystahtia!

Ps. Tuosta etusivulta voi tilata RSS syötteen vaikka omalle työpöydälle ja tarjolla on myös uutiskirje sähköpostiin  ;)

Tämä on taas aika sitä itseään, koska järjestelmäänhän VOI luottaa. Kuten tästä artikkelista (http://developer.joomla.org/coordinator-blog/245-how-joomla-156-came-about.html) voi todeta,  päivitys tehtiin melkoista vauhtia heti haavoittuvuuden ilmettyä.

Tässä vaiheessa on hyvä myös muistuttaa että Joomla!n tai minkä tahansa webbisovelluksen käyttäminen vaatii JATKUVAA ylläpitoa ja sivuston tarkkailua. Ylläpitäjän pitää kantaa vastuunsa rakentamistaan sivustoista eikä asennuksen jälkeen tunkea päätä pensaaseen ja tulla sitten itkemään kun jotain vastaavaa tapahtuu.

Maksullisissa palveluissa ylläpito hoidetaan palveluntarjoajan puolesta. Jos teet/yrityksesi tekee sivut Joomlalla, on päivitysvastuu sinulla. Joomla! on ihan yhtä turvallinen jos ylläpitäjä osaa asiansa. Vastaavia kriittisiä päivityksiä tulee kuitenkin todella harvoin.

Tähän väliin taas hyvä laittaa Jakobin suomentama

Tietoturvatöppäysten top-10 (http://www.joomlaportal.fi/component/option,com_smf/Itemid,51/topic,6150.msg21721#msg21721)

Järjestelmien syyttäminen omista virheistään johtaa vain niiden toistamiseen. En epäile hetkeäkään etteikö tule tilannettaa että tuo mainitsemasi "sporttisaitti" kokee saman. Täytyy sanoa että yhtä vakuuttavan nopeaa korjausta en usko keneltäkään löytyvän. Tuo Joomla tiimin tekemä on ennätystasoa ja sen lyöminen vaatii jo vähän onneakin, koska sitä oli Joomlallakin matkassa.

Sivuston ylläpitäjän ongelma on aina sama kilpajuoksu tuhon edellä - vanhentumisen, hakkereiden, laitevikojen, käyttäjien tarpeiden ja monien muiden sivuston tulevaisuutta uhkaavien tekijöiden ahdistamana. Ulkoistamalla ylläpidon viet sen vain omien toimiesi ulottumattomiin niin hyvässä kuin pahassa. Joku muu kyllä ylläpitää, mutta millä tavalla? Ja jos jotain tapahtuu voit vain voimattomana katsoa toimia tai niiden puutetta.

Ulkoistaminen kysyy ennen muuta luottamusta ja kuten Nebulan tuore esimerkki kertoo Akilleella on aina kantapäänsä vaikka sitä ei nähtäisikään ennen kuin keihäs siihen osuu. Valtavat keskittymät - kuten Nebula - ovat, vaikkakin kenties paremmalla tietotaidolla turvattuja, myös houkuttelevampia kohteita hakkereille ja juuri tuollaiset perusinfratason ongelmat (vastaava voisi olla tulva tai räjähdys) kaatavat "puoli Suomea".

edit: Oho! tulipa sitten kolme samanlaista viestiä putkeen...

Totanoin noin, sain ajettuu muutaman päivän vanhat backupit, ja nyt pitäs toi 1.5.6 päivitys tehdä. Ja luonollisesti tehdä sillälailla että mitää ei katoo :D Kyselinki jo oikopolkuja mutta niitä kun ei ole. Mutta siis, mitkä tiedostot mun pitäisi heittää palvelimelle? Administraattorin kansio? ja tarviikos muuta?


*2x huokaus*


Lisäys......

Äh...ku ottaa silmän käteen niin löytyhän ne ohjeet tuolta mitä tehdä ;D

Jatketaan tällä samalla....
En tiedä miten Sporttisaisilla toimitaan, mutta....

Maksullisissa sovelluksissa on samanlainen tietoturvaan liittyvä riski kuin ilmaisissakin, eli tärkeää on että tietoturvapäivitykset tehdään aina.

1) Mikäli tämä maksullisen saitin X ylläpitäjä olet sinä, niin sinun pitää itse pitää päivittää sivustoa, vaikka oletkin sivusta maksanut. Itsekin olen joitakin maksullisia järjestelmiä käyttänyt, siellä tietoturvapäivitykset tehdään kuten Joomla!:ssakin, ainoana erona on se, että sovelluksen on saanut vain maksamalla summan Y.

2) Mikäli sivustoa päivittää joku muu, niin tällöin sinun pitää vain luottaa siihen, että ylläpitäjä päivittää sivuston järjestelmää tasasin aika ajoin (nyt voidaan ottaa mukaan vaikkapa palvelinten php versio 4, jonka päivitys on juuri kuun vaihteessa loppunut).

Muita ratkaisuja:
Ota varmuuskopioita!
Jos sivusto hakkeroidaan, onnistuu sivuston palauttaminen käden käänteessä, varmuuskopiontia ja sen palauttamista kannattaa harjoitella esim. alasivuilla, leiki vaikka että olet siirtämässä sivustoa. Periaatteessa sivuston siirtäminen tehdään täysin samalla tavalla kuin varmuuskopion palauttaminen.


Seuraa tietoturvauutisia!
Jos käytät järjestelmää X, niin seuraa aktiivisesti sen uutisia. Se vie noin kolme minuuttia päivässä aikaa. Kirjaudu esim. sähköpostipalveluun, jolloin uutiset saapuvat sähköpostiin, tai seuraa RSS-feedejä.


Jos taas et voi yllämainittuja toimia toteuttaa, niin harkitse esim. kaupallisia palveluita
Maksa jollekin taholle sivustosi päivittämisestä, ylläpitämisestä ja yllämainituista toimista. Vaikka Joomla! on ilmainen, voit silti "hankkia" sille osaavan ylläpitäjän, joka sopimuksesi mukaan ottaa varmuuskopiot yms. yms.

Kuten on jo sanottu, reiätöntä järjestelmää ei ole olemassa.

Kuinkahan suuri riski on siihen, että jos nyt päivitän Joomla 1.5.2 -version tuohon 1.5.6-versioon käyttäen update packagea, ettei sivusto toimi enää? Sain nimittäin vähän sellaisen käsityksen, että on mahdollista, ettei sivusto toimi enää sen jälkeen.

En nimittäin haluaisi menettää kaikkia tiedostoja, eikä ole oikein mahdollisuutta kokeilla tuota päivitystä jollain toisella Joomlalla, koska ei ole tarpeeksi MySQL-tietokantoja.

PS: Yritin hallintapaneelista Asenna/poista-toiminnon kautta ladata tuon päivityksen, mutta vastauksena oli: Fatal error: Allowed memory size of 12582912 bytes exhausted (tried to allocate 2094592 bytes) in /home/uno3846/public_html/libraries/joomla/filesystem/archive/gzip.php on line 78

Pikaista vastausta ja neuvoa toivoen  :)

No niin, hyvää huomenta  :D
Asensin manuaalisesti tuon päivityksen, eli purin ZIP-tiedoston ja siirsin ne palvelimelle.

Missään vaiheessa sivusto ei lakannut toimimasta, mutta ei myöskään tullut mitään asennussivua kun kaikki tiedostot oli siirretty. Kävin sitten tsekkaamassa administrator-paneelista, ja se ilmoittaa uuden version olevan 1.5.6. Eli onko päivitys nyt oikein tehty - voiko se olla näin helppoa?  :)

On se.

Jakob

Ps. Muista aina ennen päivitystä ottaa varmuuskopiot vanhasta.

Oma päivitysrumba 10:n eri sivustoon oli myös helppoa lukuunottamatta yhtä sivustoa. Ongelmana oli ftp ohjelma millä sivuston siirsin sillä se katkaisi 10 eri tiedostosta osan pois siirrossa ja tämän johdosta oli muutamia ongelmia. Ensin sivusto ei auennut. Kun sivuston sai auki ylläpito puolella ei pystynyt muuttamaan navigaatiota eikä artikkeleita. Kun vioittuneet tiedostot tuli ladattua uudelleen palvelimelle ei ongelmia enää ollut.

Tiedostojen ns. katkeaminen kesken siirron oli helppo tarkistaa vertailemalla tiedostojen kokoa palvelimella ja omalla koneella.

Eli kyllä se päivitys voi mennä pieleen mutta suht helposti siitä selviää. Kuten edellä on mainittu, aina se varmuuskopio ensin ennen muutosten tekemistä.

Itse päivitin helposti sivut lataamalla extplorerilla (tjsp) tiedoston webpalvelimelle, ja purkamalla sen samaisella ohjelmistolla. FTP:n kanssa olen kironnut useampaankin kertaan sekä hitautta että siirron katkeilemista.

Muutenkin Extplorer on ihan kiva, lukuunottamatta sitä "ominaisuutta" että ei pysty käsittelemään kuin vain sitä hakemistoa missä Joomla majailee.

Kuten itsekin sanot, ongelma on ftp-ohjelman/tiedonsiirto. Joomlan vikahan se ei ole.  ;D

Pätkivä ftp on tuttuakin tutumpaa varmaan useimmille meistä.  ;)

Jakob