Kritická chyba v systému Joomla!

Vzhledem že tohle je docela vážný problém pro Joomlu, třeba ji zde uvést, když se tu dlouho nic neděje. Toto mi došlo od mého poskytovatele webhostingu:


V systému Joomla! byla zjištěna vážná bezpečnostní chyba, kterou jde zneužít pro DOS útok. Problém se opět netýká našich serverů, zabezpečení či nastavení, ale redakčního systému Joomla! a je potenciálně ještě nebezpečnější.

V rozšířené administrátorské šabloně Bluestork v Joomla! se objevila bezpečnostní díra, kterou mohou hackeři zneužít pro nahrání DoS skriptů. Problém se týká především verzí 1.6.3, 1.7.0., 2.5.2. a aktuální 2.5.6.

Řešením problému je kompletne odstranit složku bluestork z Vašeho FTP prostoru a tuto šablonu nepoužívat ! Šablonu naleznete ve složce s Joomlou: /administrator/templates/bluestork.
Doporučujeme tedy tuto složku neprodlene smazat !

Více informací z komunity k systému Joomla naleznete zde: forum.joomla.org/viewtopic.php?f=621&p=2866911




No, uvidíme, kdy bude problém ze strany Joomla teamu vyřešena.

Podrobným pročtením zmiňovaného vlákna dospějete k tomu, že :

- pokud jste na svůj nový web nasadili verzi 2.5.5 a vyšší, problém se vás netýká. Zdůrazňuji, že se jedná o nový web a novou instalaci!

- pokud jste na svém webu měli v minulosti verzi 2.5.4 a nižší (i když dnes máte verzi 2.5.5. a vyšší), můžete mít problém.

Vše souvisí s tím, že verze 2.5.5 opravila závažnou chybu, která umožňovala při zapnuté samoregistraci uživatelů podvrhnout kód, který zajistil nastavení daného uživatele do skupiny SupeAdmin. Dalším kódem, který způsobovala taktéž již opravená chyba verze 2.5.2, bylo možno pak hacknout správcovskou šablonu a nahrát do ní vlastní kód. Na spoustě míst se tak zaregistroval uživatel alexaalexa, s emailem xxxtxxx383@gmail.com . "Přidělil" si Superadmin práva a spal. Jeho čas přišel později, kdy si do správcovské šablony nahrál své soubory, skrz které prováděl DDOS útok na server. Samozřejmě je možné, že se mohl útočník na vaše stránky zergistrovat i s jinými údaji. První věcí je zkontrolovat počet SuperAdminů na vašem webu. Pokud jich je více, než potřebujete, máte tam patrně toho svého "spáče".

Jak vše odstranit?
Nejlépe obnovit z ještě "čisté" zálohy a ihned aktualizovat na poslední verzi Joomly. Pokud nemáte čistou verzi k dispozici, musíte do SQL databáze a daného uživatele zablokovat. Doporučení zní jej zablokovat, nikoliv mazat. Souvisí to s možností přeregistrace. Pokud registraci dělá robot s přednastavenými údaji, registrace se mu nepodaří. Když uživatele smažete, založí jej znovu.

Závěr : Pokud máte nový web s novou verzí Joomly, problém se vás netýká. Všichni ostatní by měli upgradovat na poslední verzi a podívat se na svého "spáče".

Pokud je na webu zakázáno vytváření dalších uživatelů a navíc mám nastaveno: Aktivace nového uživatelského účtu - Správcovská část, tak můžu bejt úplně v klidu i když jsem na svém webu měl v minulosti verzi 2.5.4 a nižší (dnes mám verzi 2.5.6.)?