Due aggiornamenti di Joomla in una settimana: cosa sta succendo

Ho appena aggiornato il mio CMS Joomla alla 3.4.6 ed esce un aggiornamento 3.4.7 !!??!?!??Siamo folli??
Si! Follemente attenti alla sicurezza dei nostri siti!

di Stefano Vannutelli

Eh già. Non è uno scherzo o un divertimento: hanno individuato delle vulnerabilità molto serie, e si rende quindi necessaria una ulteriore attività di aggiornamento. Cose che capitano nella vita di tutti i software.

Le tecnologie come sappiamo progrediscono e con il progredire a volte i tecnici si rendono conto che le sicurezze del passato a volte vacillano se non addirittura crollano. Beh, è successo proprio questo. Non stiamo parlando di una piccola “rognetta” di un programmatore che ha scritto una virgola al posto di un punto perché il collega a fianco ha starnutito all’improvviso, stiamo proprio parlando di un problema strutturale, che addirittura non riguarda neanche direttamente Joomla in se, ma il linguaggio, e più precisamente l’interprete PHP (il linguaggio con cui “ragionano” i nostri server) .

Se cambia qualcosa nell’interprete PHP – ovvero quel componente (tecnicamente chiamato daemon service) residente sul server che rende vivo il nostro CMS , va da se che qualcosina dovrà pur essere adattata anche negli script che dicono al PHP Daemon Service cosa deve fare. E fin qui il ragionamento non fa una grinza.

Ma se si tratta di una serie di istruzioni che sono ereditate da precedenti versioni PHP anche piuttosto datate… cosa succede?
Semplice e matematico, anche se per alcuni farà venire i capelli bianchi…. Dobbiamo correggere tutto a partire dalle versioni più “antiche”.
Il team di Joomla.ORG ha messo a disposizione delle pagine molto semplici, dirette e chiare, un po da tecnici, ma neanche troppo per quello che dobbiamo sapere, e le azioni da adottare.

Nella introduzione di questa scheda del Jooma Security Centre abbiamo questi focal

  • Project: Joomla!

  • SubProject: CMS

  • Severity: High

  • Versions: 1.5.0 through 3.4.6

  • Exploit type: Remote Code Execution

  • Reported Date: 2015-December-15

  • Fixed Date: 2015-December-21

  • CVE Number: requested

Fonte: https://developer.joomla.org/security-centre/639-20151206-core-session-hardening.html

Si avete letto bene!! sono coinvolte le versioni Joomla! dalla 1.5.0 alla 3.4.6 (notare che quest’ultima è l’aggiornamento del 14 Dicembre scorso) Insomma siamo proprio di fronte ad una bella rogna ereditata direi quasi dalla preistoria.

Dal Joomla! Security centre, inoltre leggiamo :

“The Joomla Security Strike team has been following up on the critical security vulnerability patched last week. Since the recent update it has become clear that the root cause is a bug in PHP itself. This was fixed by PHP in September of 2015 with the releases of PHP 5.4.45, 5.5.29, 5.6.13 (Note that this is fixed in all versions of PHP 7 and has been back-ported in some specific Linux LTS versions of PHP 5.3). This fixes the bug across all supported PHP versions.”

Questo vuol dire che i “motori PHP” ovvero i daemon service citati prima sono i veri imputati del problema e devono essere aggiornati.
Noi che dobbiamo fare?
Nulla, è compito del provider (a meno di servizi web gestiti in house, ovviamente).
Noi comuni mortali che usufruiamo dei servizi dei nostri bravi hoster, possiamo solo verificare con loro o tramite i pennelli amministrativi messi a disposizione, che le versioni PHP in uso dai server corrispondano con quelle sopra indicate dove il problema è già stato risolto.

È finita?
NO !
ci tocca anche adeguare il core di Joomla! con un bell’aggiornamento.
Ovviamente stando così le cose non credo che riguardi solo noi Joomlers… mi pare evidente; potrebbe anche spiegare la quantità di attacchi che molti siti (e non solo in Joomla! ..) hanno subito di recente.
Ma torniamo al nostro Joomla!: abbiamo finito? Proprio no; dobbiamo aggiornare il nostro core di Joomla!. Quindi la soluzione sulla carta è semplice come tre parole e tre numeri indicati da Joomla! Security Centre:

Solution
Upgrade to version 3.4.7

Tutto risolto, se avete una installazione di Joomla! 3.x

Il discorso cambia se avete una versione 1.5 o 2.5, ma l’eccezionalità della situazione ha mosso la sensibilità di Joomla.ORG che ha scritto questa pagina.
https://docs.joomla.org/Security_hotfixes_for_Joomla_EOL_versions

Il Messaggio di Joomla.org è chiaro, queste sono versioni EOL (End Of Life): hanno cessato di esistere. Non voglio addentrarmi a commentare ulteriormente questa pagina. Credo sia più opportuno che ciascuno la legga confrontando il contenuto con la propria situazione e traendo le conclusioni e relative azioni da farsi senza essere inquinati da opinioni altrui.

In ogni caso, mai dimenticare la buona norma: prima di fare qualsiasi cosa, assicurati di avere un backup!