Om hoeveel websites het hier gaat is een beetje onduidelijk maar sinds 2007 is dit framewerk 30 miljoen keer gedownload. Dat is dus een interessant aanvalsdoel voor kwaadwillenden. Nu maakte Nationale Cybersecurity Center dus op 9 januari de kwetsbaarheid in de Joomla Content Editor (com_jce) bekend. Dit omdat er een exploit op internet in omloop is waarmee kwaadwillenden code op websites zetten. Probleem was namelijk al in april 2012 gevonden en een maand later opgelost. Maar omdat de meeste websites niet alleen gebruik maken van het core systeem en al helemaal niet de standaard template gebruiken stellen dus de meesten de migratie uit. En eerlijk gezegd had ik ook niet zo’n drang om in de kerstvakantie te gaan zitten hobbyen maar.......
Dataverkeer
Want dat binnen het top-level NL domein actief gebruik gemaakt wordt van de exploit had ik al proefondervindelijk vastgesteld. Zo zag ik in november dat het dataverkeer van de website een verdachte toename liet zien. Blijkbaar is niets meer heilig want we hebben het over een website van een vereniging, één van de vele (tien)duizenden en zonder geheimen. Het liefdewerk van vrijwilligers die onbetaald hun club helpen en niet zitten te wachten op overschrijding van de datalimiet of andere verrassingen.
Nader onderzoek liet zien dat een onverlaat er stiekem software op had geplaatst. En toen na eerste verwijdering het spel herhaald werd zat er dus niets anders op dan te migreren naar de laatste versie van ??. Maar omdat migratie van templates en maatwerk nu eenmaal tijd kost stellen veel webmasters de hoog nodige aanpassingen nog steeds uit. Overstap van Joomla 1.5.x naar 2.5.x is namelijk nogal rigoureus door de vele veranderingen (en verbeteringen) die er gemaakt zijn.
Framed werk
Het voordeel van een framewerk is direct ook een nadeel omdat je hiermee dus afhankelijk wordt van anderen. Zowel in oplossen van beveiligingsproblemen als met ‘migratie planning’ wanneer de patch geen minor update is maar major doordat het achterliggende systeem gewijzigd wordt. Dit wordt versterkt als het framewerk de basis is voor maatwerk, de ‘heipalen’ waarop veel oplossingen gebouwd zijn. En populariteit zorgt ervoor dat het een interessant doel wordt want een gevonden lek heeft een grote reikwijdte en is vaak ook niet zo snel gedicht. Vergeet ook niet dat er tijd ligt tussen ontdekking, vaak door hackers die aan goede zijde van de moraal staan, en het dichten ervan met een update.
Betreffende de hackers die aan de goede kant staan zijn er namelijk ook security framewerken welke met regelmaat nieuwe gevaren publiceren die soms een even grote of nog grotere impact hebben dan geconstateerde problemen in Ruby. Gevaar zit namelijk niet zo zeer in de gaten die ontdekt en gedicht zijn maar in de rest van het vergiet. De zero-day exploits, lekken die nog niet ontdekt zijn en waarvoor dus ook geen fix of waarschuwing is. Hypocriete is dat deze blijkbaar wel verhandeld mogen worden maar niet gebruikt. Dus wie maakt zich nog druk om de Patriot Act?
Joepla
Terug naar de migratie van Joomla, welke voor de core componenten een fluitje van een cent was. Via een back-up kon ik eenvoudig een offline kopie binnen XAMPP maken en met jUpgrade de database migreren. Tot zover het goede nieuws want om tussen oude en nieuwe website een spelletje ‘zoek de 7 verschillen’ mogelijk te maken was wat meer werk nodig. Maar na puzzelen met stylesheets is het toch gelukt en tot op heden lijkt het bezoekers niet op te vallen dat website op een andere versie loopt. Nou ja, hopelijk één wel maar die is dus persona non grata.
Geen opmerkingen:
Een reactie posten