Und es geht weiter: joomla com_gmaps 1.00 Remote SQl Injection

Nicht einmal eine einfache GMaps Komponente ist wohl fehlerfrei zu programmieren. Der Komponente com_gmaps lässt sich eine SQL-Anweisung unterschieben, die bspw. das in der Datenbank gespeicherte Admin-Passwort ausgibt. Zum Ausnutzen der Lücke ist nur eine präparierte URL nötig.

Keine Featureliste - Löcher in den Käse reissen

Nachfolgende Liste stellt alle unsicheren Joomla-Komponenten dar, also nicht wie man im ersten Moment vermuten könnte, eine Feature-Liste. Geht es eigentlich noch unsicherer? Jedenfalls sind für diese Komponenten bereits öffentliche Exploits verfügbar.

Name	Versions	Solution	References	Updated
A6MamboCredits com_a6mambocredits	All	Abandoned. Remove completely or use at your own risk.	Secunia Advisory Forum Topic	2006
A6MamboHelpDesk com_a6mambohelpdesk	All	Abandoned. Remove completely or use at your own risk.	Forum Topic Secunia Advisory Secunia Advisory	2006
Advanced Poll com_advancedpoll (?)	<= 2.2.0	Abandoned. Remove completely or use at your own risk.	Forum Topic	2006
Adobe Acrobat Reader (Not a Joomla! extension, but worth noting.)	<= 7.0.8	Upgrade to latest stable version.	Adobe Advisory	2006
Akocomment	All	SQL Injection with PHP magic_quotes OFF. No upgrade path yet. Fix: Turn PHP magic_quotes ON	Forum Topic	June 30, 2006
Article	<= 1.1	Upgrade to latest stable version.	milwOrm Advisory FrSIRT Advisory Forum Topic	26 June 2007
ArtLinks com_artlinks	All	Abandoned. Remove completely or use at your own risk.	Forum Topic	2006
AutoStand	<= 1.1	No further information at this time.	milwOrm Advisory FrSIRT Advisory Forum Topic	26 June 2007
Bayesian Naive Filter com_bayesiannaivefilter	<= 1.1	No Fix Available. Disable or remove until a fix is available.	Forum Topic	2006
BigApe Backup com_babackup	All	A patch is available from the developer. See this post.	Secunia Advisory Forum Topic	2006
BSQ Site Stats com_bsqsitestats	<= 2.2.1	Upgrade to latest stable version.	Forum Topic Secunia Advisory	2006
Car Manager	<= 1.1	No further information at this time.	Forum Topic	26 June 2007
Classifieds com_classifieds	<= 1.3	Upgrade to latest stable version.	Forum Topic	2006
Colophon com_colophon	<= 1.2	Upgrade to latest stable version.	Secunia Advisory Forum Topic	2006
Community Builder com_profiler	<= 1.0.0	Upgrade to latest stable version. See here for a fix for register_globals = off	Jomopolis Topic Forum Topic Forum Topic	2006
Events com_events	<= 1.3 Beta	Upgrade to latest stable version.	Forum Topic	2006
Expose Flash Gallery	RC4	Download patch	Forum Topic	20 July 2007
ExtCalendar com_extcalendar	<= 0.9.1	Upgrade to version 0.9.2. See this post for details. Also check the new forked project, JCal.	Secunia Advisory Forum Topic Forum Topic Forum Topic	2006
Facile Forms com_facileforms	<= 1.4.6	Upgrade to latest stable version.	Forum Topic	2006
Galleria com_galleria	All	Abandoned. Remove completely or use at your own risk.	NVD Advisory Forum Topic	2006
Hash Cash com_hashcash	All	Abandoned. Remove completely or use at your own risk.	Secunia Advisory Forum Topic	2006
Hot Property com_hotproperties (?)	<= 0.97	Upgrade to latest stable version.	No references available at this time.	2006
JCE com_jce	<= 1.0.4	Apply patch, download it here, or use latest stable version.	Secunia Advisory Cellardoor Secunia Advisory	2006
JoomlaPack com_jpack	1.0.4a2 RE	Upgrade to latest stable version.	MilwOrm Advisory FrSIRT Advisory	2006
JoomlaBoard com_joomlaboard	<= 1.1.1	Upgrade to latest stable version. RG_EMULATION Fix	Secunia Advisory Forum Topic Forum Topic	2006
JoomlaLib com_joomlalib	<= 1.2.1	Upgrade to latest stable version.	Forum Topic	2006
JD-WordPress com_jd-wp	<= 2.0-1.0 RC2	Patch Available. See this post.	Forum Topic	2006
JD-Wiki com_jd-wiki	All	Abandoned project. Upgrade to nuWiki	Forum Topic Forum Topic	6 July 2007
JIM 1.0.1. (PMS) com_jim	1.0.1	Upgrade to latest stable version. The developer fixed security issues but didn't create a higher version number.	Secunia Advisory	2006
jPack com_jpack	<>	Upgrade to latest stable version.	Forum Topic	26 June 2007
Link Directory com_linkdirectory	All	Remove. Abandoned project.	No references.	2006
Letterman mod_letterman	<= 1.2.4	Upgrade to latest stable version.	Forum Topic	May 2007
LMO com_lmo	<= 1.0b2	Upgrade to latest stable version.	FrSIRT Advisory Forum Topic	2006
LoudMouth com_loudmouth	<= 4.0j	Upgrade to version 4.1 then apply Security Patch 1. Download here.	Forum Topic MamboExchange Advisory	2006
MamCom (?) com_trade	All	Abandoned. Remove completely or use at your own risk.	*Unconfirmed*	2006
MambelFish 1.x com_mambelfish	<= 1.x	Upgrade to 1.5 (or to Joom!Fish) Download Mambelfish Download Joom!Fish	Secunia Advisory	2006
Mambo Gallery Manager com_mgm	All	Abandoned. Remove completely or use at your own risk.	Forum Topic FrSIRT Advisory	2006
MiniBB com_minibb	<= 1.5a	Abandoned. Remove completely or use at your own risk.	Security Reason Advisory Forum Topic Security Reason	2006
Mos Tree com_mtree	<= 1.5.8	Upgrade to latest stable version.	Forum Topic	2006
MosMedia com_mosmedia	<= 1.0.8	Temporary Fix Available. See this thread for details.	Forum Topic	2006
MoSpray com_mospray	<= 1.8 RC1	Abandoned. Remove completely or use at your own risk.	Forum Topic	2006
Multibanners com_multibanners * Note: Not the same as the Multibanners Module.	All	Abandoned. Remove completely or use at your own risk.	Secunia Advisory Forum Topic	2006
OpenSEF com_sef	<= 2.0.0 RC5 Unpatched	Download patch	Forum Topic	2006
PC Cook Book com_pccookbook	<= 1.3.1	No Fix Available. Disable or remove.	FrSIRT Advisory Forum Topic	2006
Per Forms com_performs	<= v1_beta	Upgrade to latest stable version.	Secunia Advisory Forum Topic Forum Topic	2006
Phil-A-Form	< 1.2	Upgrade to latest version.	Forum Topic	May 2007
People Book com_peoplebook	<= 1.1.5	Upgrade to latest stable version.	Joomla Forge	2006
Prince Clan Chess com_pcchess	<= 0.8	Author suggest manually patching.	See this site.	2006
PollXT com_pollxt	<= 1.22.07	Upgrade to latest stable version.	Secunia Advisory Forum Topic Secunia Advisory	2006
RS Gallery2 com_rsgallery2	<= 1.11.3	Upgrade to latest stable version.	Forum Topic	06
RWCards	< 2.4.4	Upgrade to latest stable version.	Forum Topic	26 June 2007
SEF404x com_sef	All	No Fix Available. Remove completely or use at your own risk.	No references.	2006
SMF Bridge com_smf	<= 1.1.4	Versions other than 1.1RC2. Fix Available. See this thread. Version 1.1RC2 only. Upgrade available. See this thread.	Secunia Advisory Simple Machines Advisory Forum Topic Forum Topic Forum Topic Forum Topic Secunia Advisory	2006
Site Map com_sitemap	All	Abandoned. Remove completely or use at your own risk.	Secunia Advisory Forum Topic Secunia Advisory	2006
SimpleBoard com_simpleboard	All	Upgrade to latest JoomlaBoard. JoomlaBoard is compatible with SimpleBoard. Download here.	Secunia Advisory Secunia Advisory Forum Topic Secunia Advisory	2006
Security Images com_securityimages	<= 3.0.5	Upgrade to latest stable version.	Secunia Advisory Forum Topic	June 2007
TaskHopper com_thopper	<= 1.1	Upgrade to latest version.	Forum Topic	2006
User Home Pages 1 and 2 com_uhp and com_uhp2	<= 1.1.1 (?)	Upgrade to latest stable version.	Forum Topic Secunia Advisory Forum Topic	June 2007
VirtueMart	<= 1.0.11	Upgrade to version 1.1.11 and apply patch. Available here.	Forum Topic	June 2007
WordPress (Not a Joomla! extension, but worth noting.)	2.1.1	Upgrade to latest stable version.	Forum Topic	26 June 2007
zOOm Media Gallery	<= 2.5.1 RC4	Upgrade to latest stable version.	FrSIRT Advisory Forum Topic	2006

Joomla 1.0.13 wieder los werden - Nicht mit uns!

Lange Zeit glaubte man, dass die 1.0.12 die vorläufig letzte Joomla! Version aus der 1.0er Schiene sein wird. Als unkritisches Update getarnt kam plötzlich an einem Wochenende, die Version 1.0.13 auf den Markt. Ganz unscheinbar erwähnte man, dass die Passwörter nun gesaltet werden. Im Klartext heißt es, man bekommt das Problem der Hacks nicht hin und schiebt deswegen eine Version nach, die die als MD5-Hashes gespeicherten Passwörter in der Datenbank noch einmal verschlüsselt. Die 32Bitige Zeichenkette, die für MD5 Typisch ist gibt es also nicht mehr.

Passwörter zu salten ist an sich eine wunderbare Idee und bei manch einem kommerziellen CMS bereits fester Bestandteil. Nur bei Joomla! wirds es in einer Nacht und Nebelaktion nachgeschoben und heimlich still und leise im Changelog erwähnt. Nicht erwähnt bleibt, dass mit diesem Verfahren ein Downgrade nicht mehr möglich ist - Aber wer will schon ein Downgrade fahren? Vielleicht die Leute, die zu schnell mitgezogen hatten und deren Communitys nicht mehr funktionieren? Ja, aber gerne doch, die gesalzenen Hashes können ihre Komponenten nicht mehr lesen und so bleiben gerade die ausgesperrt, die es am dringendsten brauchen - Leute die Systeme betreiben, an denen sich die Benutzer authentifizieren müssen, sich also an der Datenbank anmelden und damit ein weit höheres Risiko tragen, als reine Informationsseiten.

--------------- 1.0.13 Stable Released -- [21-July-2007 16:00 UTC] -----------------

18-Jul-2007 Rob Schley
# Fixed admin session problems with immediate logout after login.
# Fixed a few misc. bugs.


11-Jul-2007 Sam Moffatt
^ Removed assumption that a group exists for a user (may not actually be true)


04-Jul-2007 Rob Schley
# Fixed a bug in the administrator login system that prevented users from logging in


02-Jul-2007 Rob Schley
* SECURITY A6 [LOW Level]: Fixed [#5630] HRS attack on variable "url"
* SECURITY A1 [LOW Level]: Fixed [#5654] Multiple fields subjected to cross-site scripting vulnerabilities
* SECURITY A7 [LOW Level]: Fixed possible session fixation vulnerability in administrator application


29-Jun-2007 Louis Landry
^ Hardened password storage mechanism to use a random salt
! Remember Me cookies will be invalid and require a re-login


20-May-2007 Rob Schley
# Fixed key reference lookups to match whole results only
# Fixed two help screen naming issues.
^ Changed RG_EMULATION warning message to refer to Global Configuration Setting


17-May-2007 Rob Schley
^ Moved register globals emulation controls into Global Configuration


15-May-2007 Rob Schley
# Fixed [topic,170296] : Typos in Search Mambot configurations


14-May-2007 Rob Schley
# Fixed [topic,153233] : "Mail to Friend" parameter checks not checking content item setings
# Fixed [topic,126371] : IE7 left align problem
# Fixed [topic,167745] : Added JavaScript alert for empty category title


28-Apr-2007 Rob Schley
^ Changed cookie naming conventions to not break when using HTTPS
# Fixed [topic,156116] : Optimzed queries for menu creation to improve performance.
* SECURITY A4 [ LOW Level ]: XSS issue in com_search and com_content
* SECURITY A4 [ LOW Level ]: XSS vulnerability in mod_login


16-Apr-2007 Enno Klasing
# Re-enabled Itemid behaviour of 1.0.11 (optional, default is behaviour of 1.0.12)


--------------- 1.0.12 Stable Released -- [25-December-2006 01:00 UTC] -------------- ---

Den Server mit Joomla-Boardmitteln ins Nervana schicken? Aber gern!

Da hat wohl einer nicht aufgepasst und deswegen ist die Suche in Joomla! beta 2 brandgefährlich. Die einfache Entschuldigung: Es ist eine Beta
Ob Beta oder nicht, ein solcher Code darf nicht eingebaut werden, denn mit ein paar Tricks führt die Suche System-Befehle aus und dies ganz ohne externe Programme oder Fachwissen. Die entsprechenden Aufrufe gibt es auf einschlägigen Seiten. Nur gut, dass die Onkel-Hacker die fehlerhaften Stellen nennen:

The following scripts of a default Joomla! 1.5 beta 2 installation
contain the vulnerable code:

1) components/com_search/views/search/tmpl/default_results.php

line 12: result .'";'); ?>

2) templates/beez/html/com_search/search/default_results.php

line 25: echo '

' . eval ('echo "' . $this->result . '";');


Input of the "searchword" parameter is being passed to the mentioned
eval() code and executed. An attacker is able to append new PHP commands
after the "echo" language construct which can be used for OS command
execution.

Und wer meint er fahre mit der 1.0.13 Version besser, der wird sein blaues Wunder erleben und zwar dann, wenn er später auf die 1.5er umsteigen will. Einen vernünftigen Konverter gibt es für das Programm noch nicht.

TinyMCE nachinstallieren - Wozu das denn?

Was Joomla! mitliefert, das will niemand deinstallieren, das ist es was sich die Entwickler vermutlich gedacht haben. Zwar kommt es immer wieder, dass Joomla fehlerhafte Komponenten besitzt, die das System extrem gefährden, doch Deinstallieren von mitgebrachten Sachen ist wohl zu verpönt. Ein Einfaches Beispiel, der mitgelieferte Editor-Mambot TinyMCE.

Unter Joomla!/Mambo kann es leicht passieren, dass man sich den mitgelieferten WYSISYG-Editor “TinyMCE” deinstalliert hat. Wer dann die Suche auf der Etwicklerseite bemüht wird feststellen, dass dieser Mambot (Plugin) nicht separat angeboten wird und somit nicht wieder installiert werden kann. Was macht man also? Einen anderen Editor benutzen und ihn neben dem System extra pflegen? Das wäre eine Möglichkeit, leichter geht es mit einem kleinen Eingriff.

Man zieht sich die aktuelle Joomla Version (derzeit 1.0.13 Sunrise), extrahiert den Mambot und die dazu gehörigen xml und php Dateien und lädt ihn auf den Server (Nach /mambots). Nun fällt dem System einzig ein Datenbank-Eintrag. Man loggt sich also per z.B. PHPMyAdmin ein und führt folgende SQL-Anweisung aus:

INSERT INTO `jos_mambots` (`id`, `name`, `element`, `folder`, `access`, `ordering`, `published`, `iscore`, `client_id`, `checked_out`, `checked_out_time`, `params`) VALUES
(100, ‘TinyMCE WYSIWYG Editor’, ‘tinymce’, ‘editors’, 0, 2, 1, 1, 0, 0, ‘0000-00-00 00:00:00′, ‘theme=advanced’);

Das Tabellenprefix ist der configuration.php aus dem root-Verzeichnis zu entnehmen. So einfach kann das Leben sein.

Bastard Operator from Hell

Bastard Operator from Hell - BOfH, wer kennt nicht die bissigen Geschichten des Simon Travaglia. Immer wieder von seinen Benutzern genervt greift der Sysamdin durch - aus Rache, und damit Sie ihn nicht weiter nerven, quält er sie – zerstört wertvolle Daten, mischt ihnen unanständige Sachen unter die Geschäftspapiere oder sperrt sie vom System aus.

Was in den 90er Jahren als lustige Geschichtchen im noch jungen Internet herumgeisterte, ist heute ein Selbstläufer geworden. Man schimpft auf Microsoft, den großen bösen Monopolisten und wendet sich stattdessen den Googles dieser Welt zu - Kostenlos ist In und so setzten sogar großen Konzerne auf Open Source. Einer wirds schon richten und schließlich sind die Quellen offen. Zwar kann den Wildwuchs niemand mehr pflegen und durchschauen, doch Open Source ist cool und wer kein Linux auf dem Rechner hat, der ist Out - Ein Versager, ein Trottel, ein armer Wicht - Einer der die letzten Jahre geschlafen hat. Diese simple Wahrheit haben sich die Bosse verinnerlicht und so verwundert es kaum, dass man statt dem Altbewährten lieber auf das coole Neue setzt - Nervenkitzel muss sein.

Doch leider und das ist auch eine simple Wahrheit, sitzen die Bastard Operators bereits an den Open Source Projekten, haben bereits Hand an die PHPs, JavaScripts, MySQLs, Joomla!s, Typo3s, Wordpresses und Linuxe gelegt. Haben Hand an die CVSs und SubVersions gelegt.

Von dem täglichen Wahnsinn des gewöhnlichen Admin, der vom Geist der BOfHs geplagt wird, will dieses Blog berichten und den OpenSource Hype ein wenig durchleuchten.