image

Joomla-noodpatch voor actief aangevallen zero day-lek

dinsdag 15 december 2015, 10:01 door Redactie, 15 reacties

De makers van het populaire contentmanagementsysteem (CMS) Joomla hebben een noodpatch voor een zero day-lek uitgebracht dat de afgelopen dagen actief werd aangevallen. Via de kwetsbaarheid kunnen websites volledig worden overgenomen. Beveiligingsbedrijf Sucuri stelt dat het al op 12 december aanvallen heeft waargenomen, terwijl de update gisterenavond verscheen. Sinds gisteren zouden de aanvallen verder zijn toegenomen.

"Dat houdt in dat waarschijnlijk elke Joomla-site is aangevallen", zegt Daniel Cid van Sucuri. Via de kwetsbaarheid kan een aanvaller willekeurige code uitvoeren. De makers van Joomla werden op 13 december over het beveiligingslek ingelicht en kwamen een dag later op 14 december met een noodpatch. De kwetsbaarheid is aanwezig in Joomla-versies 1.5.0 tot en met 3.4.5. Gebruikers krijgen dan ook het advies om te upgraden naar versie 3.4.6. Ook voor Joomla 1.5 en 2.5, die end-of-life zijn en niet meer worden ondersteund, hebben de ontwikkelaars een hotfix uitgebracht. Volgens cijfers zou zo'n 3% van de websites op internet van Joomla gebruikmaken.

Reacties (15)
15-12-2015, 10:14 door Anoniem
"Dat houdt in dat waarschijnlijk elke Joomla-site is aangevallen", zegt Daniel Cid van Sucuri.

Ja tuurlijk joh!
15-12-2015, 10:26 door Anoniem
Toch mooi die OpenSource producten.... Komt vast omdat iedereen de code altijd gecontroleerd op fouten, immers dat is de grote kracht toch van OpenSource?
Alleen jammer dat deze fout er al sinds 1.5 in zit?

Zovaak wordt de code dus niet gecontroleerd.
15-12-2015, 12:15 door Anoniem
@Anoniem 10:26
De fout zat in het stuk code dat aan jouw was toebedeeld om te controleren. Beetje jammer dat je dat niet op tijd hebt gedaan.
15-12-2015, 12:52 door Anoniem
@Anoniem 10:26 => Lekker neerbuigend doen over opensource.
Is andere software beter?

Geen enkel software is 100% waterdicht dus kan je het niet op OpenSource afschuiven.
15-12-2015, 16:34 door Anoniem
Door Anoniem: Toch mooi die OpenSource producten.... Komt vast omdat iedereen de code altijd gecontroleerd op fouten, immers dat is de grote kracht toch van OpenSource?
Alleen jammer dat deze fout er al sinds 1.5 in zit?

Zovaak wordt de code dus niet gecontroleerd.

Het probleem zit 'm niet in open source maar in het gebruik van PHP. Zie ook: https://www.security.nl/posting/453239/PHP+en+classic+ASP+het+meest+hackbaar___
15-12-2015, 17:35 door Anoniem
Door Anoniem: @Anoniem 10:26
De fout zat in het stuk code dat aan jouw was toebedeeld om te controleren. Beetje jammer dat je dat niet op tijd hebt gedaan.

Ik heb daar een leverancier voor. Ik heb geen kennis van deze code. Dus waarom zou ik er dan naar moeten kijken.
Maar dit is juist 1 van de "grote" krachten van OpenSource...... iedereen kan de code zien. Dus is het veiliger.... Blijkbaar vind niemand het echt belangrijk om de code echt goed door te nemen van veel producten.

Door Anoniem:
Door Anoniem: Toch mooi die OpenSource producten.... Komt vast omdat iedereen de code altijd gecontroleerd op fouten, immers dat is de grote kracht toch van OpenSource?
Alleen jammer dat deze fout er al sinds 1.5 in zit?

Zovaak wordt de code dus niet gecontroleerd.

Het probleem zit 'm niet in open source maar in het gebruik van PHP. Zie ook: https://www.security.nl/posting/453239/PHP+en+classic+ASP+het+meest+hackbaar___

PHP is dat ook niet OpenSource?
15-12-2015, 20:59 door karma4
Door Anoniem:Het probleem zit 'm niet in open source maar in het gebruik van PHP. Zie ook: https://www.security.nl/posting/453239/PHP+en+classic+ASP+het+meest+hackbaar___
Blijft nog steeds een problem voor OSS hoe je het ook draait. De boel is onveilig daar veranderd OSS als heil niets aan.
16-12-2015, 13:05 door Anoniem
Het probleem zit 'm niet in open source maar in het gebruik van PHP. Zie ook: https://www.security.nl/posting/453239/PHP+en+classic+ASP+het+meest+hackbaar___

Wat lul je? Dit heeft niks met het gebruik van PHP te maken.

Dit heeft gewoon te maken met het herhaaldelijk falen van programmeurs die weigeren kwaliteit af te leveren. Bovendien is PHP één van de meest gebruikte en geliefde talen ter wereld wat het een doelwit maakt en er daardoor veel aanvallen op komen. In mijn optiek is niet de schuld van PHP! Je kunt er ook voor kiezen om een (open source) programmeertaal te gebruiken die minder vatbaar is voor aanvallen maar de kans is groot dat als dat populair wordt dat ook meer wordt aangevallen.

Dus in de trant van die discussie kan ik er nog wel een paar bedenken.
17-12-2015, 12:29 door Anoniem
Door Anoniem:
Het probleem zit 'm niet in open source maar in het gebruik van PHP. Zie ook: https://www.security.nl/posting/453239/PHP+en+classic+ASP+het+meest+hackbaar___

Wat lul je? Dit heeft niks met het gebruik van PHP te maken.

Ik lul niet, PHP is een minder veilige programmeertaal en daarom wordt dit bij serieuze toepassingen niet gebruikt. Herhaald heb ik bij grote bedrijven mensen uitgelachen zien worden wanneer ze met PHP als mogelijke oplossing kwamen.

Door Anoniem:Dit heeft gewoon te maken met het herhaaldelijk falen van programmeurs die weigeren kwaliteit af te leveren.

Dat kan in alle programmeertalen. Het neemt echter niet weg dat er inferieure programmeertalen zijn (zoals PHP) die beter helemaal niet gebruikt zouden kunnen worden. Want zelfs de beste programmeurs kunnen uiteindelijk niet om de beperkingen van het PHP platform heenwerken en dat heeft grote gevolgen voor de veiligheid, onderhoudbaarheid, etc.

Nogmaals: https://www.security.nl/posting/453239/PHP+en+classic+ASP+het+meest+hackbaar___ (lees het goed).

Door Anoniem:Bovendien is PHP één van de meest gebruikte en geliefde talen ter wereld wat het een doelwit maakt en er daardoor veel aanvallen op komen. In mijn optiek is niet de schuld van PHP! Je kunt er ook voor kiezen om een (open source) programmeertaal te gebruiken die minder vatbaar is voor aanvallen maar de kans is groot dat als dat populair wordt dat ook meer wordt aangevallen.

Leuk geprobeerd maar PHP vergelijken met echte server omgevingen (zoals C# .NET, Java EE) is toch echt meer als dat opgevoerde, verlaagde kleine autootje vergelijken met een volbloed Ferrari.

Bovendien wordt ASP .NET en Java EE al massaal gebruikt. Namelijk overal waar een echt professionele oplossing wordt verkozen boven de korte termijn verlokkingen van PHP oplossingen. Juist dergelijke sites (banken, overheid, grote bedrijven) worden door hackers op de korrel genomen omdat er daar veel (meer) te halen valt dan bij de PHP sites aan de zijlijn.

Kijk maar eens met bv. http://w3techs.com/sites naar grote sites als Rabobank (Java EE), ING (Java EE), Primark (ASP.NET), Funda (ASP.NET), ASML (Java), etc.
17-12-2015, 17:22 door Anoniem
@12:39

Als je even naar je leuke site kijkt, dan zie je dat er genoeg sites op PHP lopen, namelijk 81%. Als het zo'n slechte taal is, waarom word het alsnog over de hele wereld gebruikt?
En om eventjes naar grote sites als whitehouse.gov te kijken zie je direct dat ze PHP gebruiken.

Dus, je wil zeggen dat de US of A zo onverstandig is? Ze schijnen iig. vertrouwen in PHP te hebben.
18-12-2015, 09:51 door Anoniem
Door Anoniem: @12:39

Als je even naar je leuke site kijkt, dan zie je dat er genoeg sites op PHP lopen, namelijk 81%. Als het zo'n slechte taal is, waarom word het alsnog over de hele wereld gebruikt?

Ik heb zelf 3 PHP sites en het prima voor rechttoe rechtaan sites waar alleen eenvoudige informatie wordt afgebeeld. Wanneer er echter zaken als bv. persoonsgegevens in het spel komen, bedrijfskritische gegevens, geld, dan haal je het toch niet in je hoofd om met een hobby taal te gaan werken!

Door Anoniem:En om eventjes naar grote sites als whitehouse.gov te kijken zie je direct dat ze PHP gebruiken.

Dus, je wil zeggen dat de US of A zo onverstandig is? Ze schijnen iig. vertrouwen in PHP te hebben.

Leuk en 'high profile' maar dat is een voorbeeld van een rechttoe rechtaan site.
24-12-2015, 10:22 door Anoniem
Door Anoniem:
Door Anoniem: @12:39

Als je even naar je leuke site kijkt, dan zie je dat er genoeg sites op PHP lopen, namelijk 81%. Als het zo'n slechte taal is, waarom word het alsnog over de hele wereld gebruikt?

Ik heb zelf 3 PHP sites en het prima voor rechttoe rechtaan sites waar alleen eenvoudige informatie wordt afgebeeld. Wanneer er echter zaken als bv. persoonsgegevens in het spel komen, bedrijfskritische gegevens, geld, dan haal je het toch niet in je hoofd om met een hobby taal te gaan werken!

Door Anoniem:En om eventjes naar grote sites als whitehouse.gov te kijken zie je direct dat ze PHP gebruiken.

Dus, je wil zeggen dat de US of A zo onverstandig is? Ze schijnen iig. vertrouwen in PHP te hebben.

Leuk en 'high profile' maar dat is een voorbeeld van een rechttoe rechtaan site.

Tuurlijk is PHP een hobbytaal.... NOT.
Ja je kan php gebruiken voor 'echo' dit en 'echo' dat, maar dit zou hetzelfde zijn als notepad gebruiken om een werkstuk in te schrijven dat je zoveel beter zou kunnen doen met bv. Word...

PHP is inderdaad al een oude taal maar dit wil niet zeggen dat ze 'verouderd' is. PHP ís een objectgeorienteerde daal, d.w.z. dat het een hogere programmeertaal is en dus evenwaardig aan bv. C# (ok, mischien ben ik een klein beetje aan het overdrijven).
Het maakt echt niet uit in welke taal iets geschreven is. Het enige dat van belang is is hoeveel tijd en werk een developer in de code heeft gestoken om zijn eindproduct stabiel en veilig te maken...
25-12-2015, 12:07 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: @12:39

Als je even naar je leuke site kijkt, dan zie je dat er genoeg sites op PHP lopen, namelijk 81%. Als het zo'n slechte taal is, waarom word het alsnog over de hele wereld gebruikt?

Ik heb zelf 3 PHP sites en het prima voor rechttoe rechtaan sites waar alleen eenvoudige informatie wordt afgebeeld. Wanneer er echter zaken als bv. persoonsgegevens in het spel komen, bedrijfskritische gegevens, geld, dan haal je het toch niet in je hoofd om met een hobby taal te gaan werken!

Tuurlijk is PHP een hobbytaal.... NOT.
Ja je kan php gebruiken voor 'echo' dit en 'echo' dat, maar dit zou hetzelfde zijn als notepad gebruiken om een werkstuk in te schrijven dat je zoveel beter zou kunnen doen met bv. Word...

PHP is inderdaad al een oude taal maar dit wil niet zeggen dat ze 'verouderd' is. PHP ís een objectgeorienteerde daal, d.w.z. dat het een hogere programmeertaal is en dus evenwaardig aan bv. C# (ok, mischien ben ik een klein beetje aan het overdrijven).

PHP en objectgeorienteerd ja, laat me niet lachen. Heb je al eens bekeken hoe dat is gerealiseerd. Amateuristisch geknoei, net zoals de rest van PHP.

De beste beschrijving van de verschillen tussen PHP en echte programmeertalen (bv. C# .NET, Java EE, etc.) is echt de vergelijking van een opgevoerd verlaagd keffertje van een auto met een full blown Ferrari.

Door Anoniem:
Het maakt echt niet uit in welke taal iets geschreven is. Het enige dat van belang is is hoeveel tijd en werk een developer in de code heeft gestoken om zijn eindproduct stabiel en veilig te maken...

Natuurlijk maakt dat wel uit! Je kan software geschreven in PHP gewoon niet zo robuust, onderhoudbaar en veilig maken als in een echte programmeertaal. Daar kan je beter maar rekening mee houden indien je ooit bij een groter bedrijf solliciteert en vertelt dat ze hun klantgegevens en gevoelige bedrijfsdata prima aan PHP software kunnen toevertrouwen.
03-01-2016, 00:19 door Anoniem
Wat een onzin allemaal.
16-04-2016, 12:25 door Anoniem
Wat een getroll door ene "Anoniem" dat PHP geen volwaardige programmeertaal zou zijn. Waarschijnlijk kan de beste man zelf niet eens programmeren. Met meer dan 12 jaar ervaring als software developer (gewerkt met Java, C#, PHP en Python) kan ik met zekerheid zeggen dat PHP echt niet onder doet voor de eerder genoemde talen. Sterker nog, ontwikkeldoorlooptijd is bij PHP zelfs korter dan bijvoorbeeld Java. Omdat PHP wat beperkter is weten developers veel beter wat ze aan het doen zijn in tegenstelling tot Java waar er heel veel manieren zijn om hetzelfde te bewerkstelligen.

PHP is heer en meester op het web. Wil je net iets meer of heb je al een hele infrastructuur aan gebouwd spul dan gebruik je sneller C# of Java voor het web, ondanks dat PHP beter is.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.