Acht jaar oud gat raakt open source CMS

17 december 2015 - 07:463 minuten leestijdAchtergrondSecurity & Awareness
Jasper Bakker
Jasper Bakker

Open source software is net als gesloten programmatuur vatbaar voor fouten, bugs en kwetsbaarheden. Soms blijken gaten al jaren open te staan, zoals nu is ontdekt in het open source CMS Joomla. Updaten is de boodschap!

Het gaat om een kritiek beveiligingsgat, waarmee kwaadwillenden op afstand eigen code kunnen uitvoeren op servers waar Joomla op draait. Het veelgebruikte open source CMS (content management) systeem vormt zo een acuut gevaar. De ontwikkelaars van Joomla zijn op 13 december ingelicht door de ontdekkers en hebben een dag later al een fix uitgebracht. Daarmee zijn niet alle Joomla-installaties meteen veilig. Beheerders, webdevelopers en andere gebruikers moeten wel updaten.

Alarmbel luiden

De Joomla-ontwikkelaars hebben vlak voor de release van hun fix al wel de boodschap doen uitgaan dat ze met een zeer belangrijke software-update zouden komen. ‘We brengen vanwege een kritieke securityzwakte Joomla! 3.4.6 vandaag uit! Sta klaar om te updaten en de boodschap te verspreiden!’, luidde de waarschuwing.

De vooraankondiging, de uitroeptekens en de diverse oproepen zijn niet voor niets. De ontdekte kwetsbaarheid wordt in de praktijk namelijk al misbruikt. Volgens de ontdekkers, in dienst bij webbeveiligingsbedrijf Sucuri, lopen de aanvallen al zeker twee dagen voordat de snel ontwikkelde patch uitkwam. Bovendien nemen de aanvallen toe, wist techblog Ars Technica te melden op de releasedag van de fix.

Ideaal gapend gat

Het beveiligingsgat is voor kwaadwillenden namelijk haast te mooi om waar te zijn. Het zit én in een veelgebruikt pakket én is op afstand te misbruiken én geeft gelijk de mogelijkheid eigen code uit te voeren op andermans servers én blijkt al bijna acht jaar oud te zijn. Dat laatste zorgt ervoor dat er een breed scala aan doelwitten is, waarop de diverse getroffen Joomla-versies draaien.

De bug in kwestie gaat helemaal terug tot aan de 1.5-release van Joomla. Die oude en officieel allang niet meer ondersteunde versie in in januari 2008 uitgebracht. Sindsdien zijn er diverse vervolgversies verschenen en is in april 2012 aangekondigd dat de 1.5-reeks end-of-life (eol) was. Daarbij zijn grote securitykwesties nog aangepakt tot september 2012, toen de 3.0-release is verschenen.

Legacyproblemen

In de praktijk doen verouderde installaties van Joomla nog dienst. Het updaten daarvan kan een flinke migratieklus inhouden, mede doordat er inmiddels geen direct upgradepad meer is naar de meest courante versie. Het nu patchen van die oudere versies is echter ook geen sinecure. Officieel worden zowel de 1.5-reeks als ook de opvolgende 2.5-serie niet meer ondersteund. Onofficiële fixes voor de oude releases zijn inmiddels wel verschenen. Sucuri verwijst naar een korte handleiding van OSTraining om die hotfixes toe te passen. Gebruikers die op de 3.4-reeks zitten, dienen meteen te updaten naar de gloednieuwe 3.4.6-release.

Meer lezen

Eén reactie op “Acht jaar oud gat raakt open source CMS”

  1. Beetje stemmingmakerij lijkt het wel op. Elke dag worden er legio bugs en gaten gevonden. De een heeft meer impact dan de andere. Maar het gaat bijna altijd wel om open source producten terwijl closed source producten ook regelmatig updates krijgen.

    Lees hier niet dat er bij Juniper een backdoor werd ontdekt die naar alle waarschijnlijkheid is terug te leiden naar een NSA of soortgelijke organisatie. De kans dat dit ook bij andere fabrikanten van netwerkproducten ook toegepast is valt niet uit te sluiten. Dit heeft voor veel bedrijfsnetwerken ook serieus consequenties.

Geef een reactie

Footer