Joomla! 1.5 Problem Update

Wir möchten klarstellen, dass wir auch am Freitag keine Webseiten löschen werden.
Joomla! 1.5 Seiten werden auch nach dem Freitag, 1.3.2013 administrierbar bleiben. Wir haben uns die Vorgänge seit mehreren Wochen angesehen und deutliche Angriffsmuster gefunden.

Viele der Negativkommentare zu unserem Vorgehen zielen auf die knappe Zeit ab, die zur Verfügung steht, um eine Migration anzustoßen. Wir möchten dazu nochmal bemerken: Die Unterstützung der Entwicklercommunity lief im September 2012 ab. Bei nahezu jedem Hinweis auf neue Versionen, die wir auch im Rahmen des clickStart-Features geben, haben wir auf die Notwendigkeit hingewiesen, Scripts upzudaten.
In Fällen wie PHP-Updates haben wir Wochen und Monate vorher die Umstellung angekündigt und Rückfalloptionen gegeben, dennoch waren viele Sites am Tag X einfach nicht vorbereitet.
Nun hat unsere Kommunikation ja ein breites Feedback ausgelöst, wobei einige Kommentatoren dies zum Anlass nahmen, das nötige Update (Joomla! 1.5 wird nicht mehr weiterentwickelt) anzugehen.
Andere reagierten mit dem Hinweis, dass ja „nur“ die Komponente JCE die Angriffe ermöglicht. Das kann sein, aber auch diese Lücke ist nicht erst seit gestern bekannt und hätte – mit wenig Aufwand – schon lange geschlossen werden können. Wir können und werden keine isolierten Zugriffe auf einzelene Dienste oder Dateien unterbinden. Die zu erwartenden Seiteneffekte sind einfach zu unüberschaubar. Dies liegt auch auf einer Linie mit unserer eigenen Produktpolitik, Webseitenbetreibern möglichst  viel Gestaltungsspielraum zu lassen und auch in günstigen Paketen keine sonderlichen Beschränkungen einzubauen. Dafür müssen wir aber auch sicherstellen, dass sichere Skripte eingesetzt werden.
Wir prüfen das Vorgehen intern noch einmal und beraten, wie man die Abwehr der Hackangriffe möglichst kundenfreundlich abwehren kann, es wird aber kein Weg daran vorbei führen, bestehende Joomla! 1.5 Installationen upzudaten.

17 Antworten auf „Joomla! 1.5 Problem Update“

  1. Hallo Goneoteam,
    für mich liest es sich so als würden Sie nun doch nicht am Freitag sondern zu einem etwas späteren Zeitpunkt die Zugriffe auf Seiten die unter J1.5 oder früher laufen unterbinden.
    Sehe ich das richtig ? Das würde natürlich vielen Usern, mich eingeschlossen, sehr helfen, das Wochenende zu nutzen um die für mich teils Komplexen Inhalte anpassen.
    Ich werde für mein Projekt sicherlich mehrer Tage/Wochen brauchen, aber ist leider gottes an der Zeit mal Up to Date zu werden und wenns einem „sanften Schubsen“ von Ihrer Seite geschuldet ist 🙂

    1. Wir arbeiten gerade an den Scripts, die die vulnerablen Seiten identifizieren und haben eine Planung, welche Art der Blockade wir anbringen können, um Intrusionen zu verhindern.
      Sie werden sicher auch am Montag an Joomla! 1.5 arbeiten können.

  2. Hallo,
    auch ich finde die Zeit bis zur Abschaltung zu kurz.
    Vor allem das komplette sperren von Joomla 1.5 Seite finde ich krass!
    Es gibt genug Leute (Community) die sich auch mit Lösungen beschäftigen falls ein bestimmter Script dazu führt oder Modul zu der Lücke.
    In meinen Fall ist die Abschaltung eine totales Desaster da ich die Webseite von einem Fußball-Verein betreue wo Joomleague eingesetzt wird.
    Und es gibt keine Joomleague-Version die auf eine höhere Joomla Version produktiv lauffähig ist.
    Joomleague ist ein nicht kommerzielles Projekt was paar Leute als Hobby programmieren. Aus diesem Grund dauert die Weiterentwicklung länger und hinkt immer etwas hinterher.
    Es gibt auch keine Alternative dazu oder was annähernd so gut ist, benutzerfreundlich und dennoch einfach und auf deutsch.
    Somit wäre das dass aus für die Vereinsseite! 🙁
    Und sicherlich auch meins bei dem Verein!
    Somit hoffe ich das Ihr auf eine andere Lösung kommt.
    Mit traurigem Gruß

  3. „Sie werden sicher auch am Montag an Joomla! 1.5 arbeiten können.“
    Alles andere wäre ja auch eine Frechheit. Hier mal ebenso ne Frist
    von 2 Tagen zu setzen um seine Seiten zu aktualisieren oder diese
    sonst zu löschen. Sollte das Ihr Weg sein dann heißt es Bye Bye Goneo!
    Beste Grüße…

    1. @Thomas:

      Hier mal ebenso ne Frist
      von 2 Tagen zu setzen um seine Seiten zu aktualisieren oder diese
      sonst zu löschen.

      Es werden keine Seiten gelöscht.

  4. Was bringt denn ein Upgrade, wenn die vermeintliche “Schadsoftware” schon in diversen Ordnern steckt?!? Die bleibt doch vorhanden? Ob ich nun J25 oder J30 nutze. Ein fremdes Script oder ein unkenntlich gemachtes Programm bleibt doch bestehen… und arbeitet fröhlich weiter?!
    Wo bleibt die Info zum eigentlichen Hack? Nach was soll wo gesucht werden?
    Könnte man die Domains auf einen anderen/neuen Hoster umleiten? Ich kann eigentlich nur umziehen, eine Migration ist in der Praxis unmöglich.
    Ich sehe vielleicht noch die Notwendigkeit eine massive Ausbreitung durch die Sperrung zu stoppen, aber was dann?!? Wie geht es weiter?

    1. @Rex Kramer Bitte verwechseln Sie dies nicht mit Viren wie sie PC befallen.

      Könnte man die Domains auf einen anderen/neuen Hoster umleiten? Ich kann eigentlich nur umziehen, eine Migration ist in der Praxis unmöglich.

      Ja, Sie können natürlich die Domain transferieren, die Joomla DB sichern und die PHP/HTML/CSS Dateien per FTP herunterladen und woanders neu wieder hochladen. Besser wäre aber eine Mig auf 2.5

  5. Hallo Goneo,
    Ihre Email schockt mich.
    Wir sind bei unserer Domain seit Monaten dran, unsere Seite auf J2.5 zu migrieren. Von derartigen Problemen des Hackings war uns bisher nichts bewusst.
    Sicherlich sollte es möglich sein, eine Seite in ca. 6-8 Wochen auf der neuen Umgebung zum Laufen zu bringen und entsprechende Tests zu machen, 2-3 Tage als Vorwarnzeit bis zum Abschalten ist aus meiner Sicht weder eine vernünftige Reaktion noch ein realistischer Zeitplan, eine Seite mit mehreren 100 Unterseiten zu migrieren.
    Eine zwangsweise Abschaltung mit quasi keiner Vorankündigungszeit stellt sich für mich auch im Sinne Ihrer Vertragserfüllung der Webserver-Verfügbarkeit zweifelhaft dar.
    Aus meiner Sicht braucht es ähnlich der PHP-Umstellung eine Ankündigung und eine Migrationszeit, so dass sich alle Administratoren auf die Änderung vorbereiten können und testen können.
    Sollten als Kurzfristmaße gewisse Erweiterungen zu deaktivieren sein (zB JCE) wäre dies ggf. eine geeignte Maßnahme.
    Bitte Informieren Sie über Änderungen zu diesem Thema wie üblich per Email, da ich diesen Blog bisher nicht kannte und zeitlich auch nicht verfolgen kann.
    Viele Grüße
    Timm

    1. @Timm:

      Aus meiner Sicht braucht es ähnlich der PHP-Umstellung eine Ankündigung und eine Migrationszeit, so dass sich alle Administratoren auf die Änderung vorbereiten können und testen können.

      Wenn der Fall gegeben wäre, dass hin und wieder eien J!1.5 Seite unter Attacke ist, wäre dies kein Problem. Wir verzeichnen aber täglich viele Angriffe und sind zum Handeln gezwungen, weil die Gesamtstabilität leidet.

  6. So ich habe jetzt per Jupgrade, mit einer ganzen Menge von Problemen, wie von GONEO vorgeschlagen, auf 2.5 migriert.
    Das Ergebnis ist desaströs, nichts läuft mehr, die Menüs sind weg und eigentlich Alles neu zu machen…
    Es wird mich einige Wochen kosten.
    Eine Übergangszeit ist unumgänglich, alles Andere ist Vertragsbruch.

    1. @Thomas: Sicherlich wird Joomla laufen und die Contents sind übernommen worden. Man muss nun im gewählten Template die Menüs wieder zuweisen.
      –> Template Manager: Edit Style

  7. Bei der bisherigen Korrespondenz wurde immer davon gesprochen, die Passwörter seien zu ändern. Dabei ist mir unklar, welche Passwörter. Es gibt:
    1. Goneo Kundenzugang
    2. FTP-Passwort
    3. MySQL-Passwort der Joomla-Instanz oder aller MySQL-Datenbanken
    4. User-Passwörter der Joomla-Instanz oder aller Joomla-Instanzen
    5. Pop3/Imap/SMTP-Passwörter.
    Welche sollten also geändert werden?
    Im Prinzip bin ich mit Ihrer Sicherheitspolitik einverstanden, da ein Teil Joomla-Installationen von Schadsoftware befallen war. Ich bitte nur, wie viele meiner Vorschreiber, die Frist zur Abschaltung der 1.5.er Instanzen zu verlängern. Das wichtigste Einfallstor, der JCE-Editor ist bei mir überall gelöscht.

    1. @Lutz Walzel: Im ersten Schritt werden wir die Angriffe vermeiden. Für den Webseitenbesitzer ist die Site weiter zugänglich, d.h. auch später noch administrierbar, updatebar usw.
      Für dem Joomla Admin Zugang sollten Sie in der Tat neue Passwörter vergeben (Zugangsname, Passwort).

  8. Also, ich habe alle meine Kunden schon zu einer Kündigung geraten. Die Webseiten habe ich bereits auf einen anderen Server umgezogen und per DNS von Goneo umgeleitet.
    So bleibt bis zum Ende der Vertragslaufzeit die Domain bei Goneo und dann wird die auch umgezogen.
    Es gibt viele Gründe, weshalb man nicht gleich updaten kann. U.a. wurde schon die Liga-Komponente genannt.
    Goneo wird nach dieser aus meiner Sicht unüberlegten Aktion keine Seite meiner Kunden mehr hosten.

    1. @Speedy: Das ist ja auch Ihr gutes Recht und wenn das Problem für Sie und Ihre Kunden damit zufriedenstellend gelöst ist, ist das doch toll.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert