Ophef rond onofficiële veiligheidsupdate

Gisteravond publiceerde Joomlatools een blog met daarin een onofficiële veiligheidsupdate voor Joomla! 1.5.7. De veiligheidsupdate zou een XSS kwetsbaarheid bij artikel parameters oplossen welke tijdens de laatste bootcamp aan het licht kwam.

Al snel kwam Joomla! met een reactie in de vorm van een blog van Anthony Ferrara. Hierin wordt sterk afgeraden onofficiële patches te installeren, maar te wachten tot de officiële release van Joomla! 1.5.8 welke eraan zit te komen.

Wel erkent Joomla! het aangekaarte probleem maar het wordt niet als dusdanig kritisch beoordeeld dat er tot directe release wordt overgegaan. In de komende 1.5.8 versie zal het probleem verholpen worden.

Joomlatools geeft desgevraagd aan met name bewustzijn te willen creëren rond de Joomla veiligheid. Men vindt het vreemd dat na de melding van het probleem op 4 oktober aan het JSST geen reactie terug wordt ontvangen, en dat de patch zonder enig bericht naar de maker uit de bug tracker is verwijderd.

De reactie van Joomla! is ook niet mis. Anthony meldt in de blog dat er geen tolerantie is voor zulk gedrag en dat de betrokken leden direct uit hun posities bij Joomla! zijn gezet.

Het is te betreuren dat een dergelijk probleem op deze manier aan het licht komt en de duidelijkheid naar de eindgebruiker te wensen over laat. Betere communicatie van beide partijen had deze discussie waarschijnlijk kunnen voorkomen.

Wat moet ik nu doen?
Wij raden aan om geen onofficiële patches te installeren en te wachten tot een officiële release van Joomla! 1.5.8. Deze is onderweg en vanzelfsprekend zullen wij hierover berichten als het zo ver is. Het risico tot een gehacke site is tot die tijd niet erg groot. De hacker moet minimaal over een account met de gebruikersrechten van auteur of hoger beschikken om de hack te kunnen uitvoeren.

Reacties (3)

0

#1

jisse wo 22 okt 2008, 18:38

Het belangrijkste van dit verhaal is dat er klaarblijkelijk iets mankeerd aan de communicatie tussen het Joomla! core team en in dit geval Joomlatools. Als mede-organisator van de bootcamp waarbij het lek werd geconstateerd, vond ik het ook nodig dat dit met spoed kenbaar werd gemaakt op de tracker. Daar bleef het echter staan, tot het opeens verdween - omdat er geen verder bericht was vind ik het vrij normaal dat Joomlatools aanneemt dat de bug daadwerkelijk was verwijderd, en dat ze daarom zelf maar de bug onder de aandacht moesten brengen. De agressieve houding van Joomla! geeft opnieuw aan dat er toch wat rammelt binnen de Joomla! gelederen. Jammer.

0

#2

jiraict wo 22 okt 2008, 18:41

Beste Joomla Fan,
Om het verhaal duidelijk te maken. Het betreffende Lek is ondekt tijdens de Joomla Bootcamp - Security Edition van 2 okt jl. Tijdens de presentatie van Mathias waren alle bezoekers getuigen van een XSS lek in de huidige Joomla versie. Tevens was JoomlaCommunity hier ook getuigen van.
Johan Janssens van JoomlaTools.org heeft destijds aangegeven hier melding van te doen bij het Joomla Security Team. Helaas is dit nooit goed opgepakt!
Maar sta ik als Security Specialist achter het besluit van JoomlaTools. Een dergelijk lek is te groot om geheim te houden. Zie bijv. het huidige DNS lek van Dan kaminsky welk effect dat heeft gehad.

Het voordeel van open source is nu net dat we met z'n alle hier aan kunnen werken. En net niet dat het in de doofpot wordt gestopt.

Mijn advies is de patch wel gebruiken als men voldoen aan de specs van de huidige bug (inloggen op frontend en gebruikmaken van standaard editor functie), en zodra 1.5.8 uit is die te installeren.

2 tumbs up for JoomlaTools, [soms moet je eigenwijs zijn om een punt te kunnen maken wat iedereen aangaat.]

Ray Bogman
Security Specialist
Jira ICT

0

#3

Marijke wo 22 okt 2008, 20:47

Zonder me te willen mengen in de discussie over de prioriteit van het beveiligingslek (dat laat ik graag over aan specialisten) denk ik dat het vooral voor gebruikers nu erg verwarrend overkomt. Dat is het jammerlijke van de hele zaak. Beide partijen beoordelen het lek op een verschillende manier en het is voor de eindgebruiker erg moeilijk beoordelen wie het bij het rechte eind heeft.

In reactie op vorige scribent:
Ik geloof niet dat Joomla! iets in de doofpot wil stoppen, echter was het wellicht beter geweest in communicatie naar Joomlatools aan te geven hoe dit lek door hen beoordeeld wordt.
Men maakt een keuze in prioriteit;
Op het administrator wachtwoord lek werd een direkte releaseprocedur e in gang gezet voor het uitbrengen van 1.5.6. Voor de beveiligingsiss ues in die versie werd een versnelde releaseprocedur e in gang gezet voor het uitbrengen van 1.5.7.
Naar ik heb begrepen heeft JSST besloten dat dit beveiligingslek niet van toepassing is op een van voorgaande maatregelen maar wordt deze in de volgende release welke zeer nabij is opgenomen.
Wellicht had Joomla! dit besluit beter door kunnen communiceren naar Joomlatools, als ik de reactie van Matthias goed begrijp op zijn blog, dan was dat voor hen een geruststelling geweest.

Verder denk ik dat het goed is te wijzen op de uitgebreide reactie van Elin Waring op het blog van Anthony waarin zij uitlegt wat de voorgestelde fix precies doet.
De enige goede raad voor de eindgebruiker is wellicht je erg goed te informeren voor je de fix toepast en te weten wat je doet.

Plaats reactie

Om een reactie te kunnen plaatsen op dit artikel zul je moeten inloggen aan de rechterzijde van deze pagina. Als je nog geen account hebt kun je er gratis een aanmaken waarna je een reactie kunt plaatsen.