[SECURITY-L] CAIS-Alerta: Vulnerabilidade no Joomla sendo explorada (SA31457)
CSIRT - UNICAMP
security em unicamp.br
Seg Ago 18 10:26:46 -03 2008
----- Forwarded message from Centro de Atendimento a Incidentes de Seguranca <cais em cais.rnp.br> -----
From: Centro de Atendimento a Incidentes de Seguranca <cais em cais.rnp.br>
Subject: CAIS-Alerta: Vulnerabilidade no Joomla sendo explorada (SA31457)
To: pop-seg em cais.rnp.br, rnp-alerta em cais.rnp.br, rnp-seg em cais.rnp.br
Date: Fri, 15 Aug 2008 16:31:21 -0300 (BRT)
-----BEGIN PGP SIGNED MESSAGE-----
Prezados,
O CAIS esta' repassando o alerta da Secunia, intitulado "SA31457 - Joomla
"token" Password Change Vulnerability", que trata de uma vulnerabilidade
critica identificada no gerenciador de conteudo web Joomla.
Quando e' solicitado o "reset" da senha de um usuario do sistema o Joomla!
envia um "token" por e-mail, um recurso e' util no caso de perda da senha.
A falha em questao esta' exatamente neste mecanismo, ao permitir que um
usuario nao autenticado ou autorizado realize "reset" da senha do primeiro
usuario habilitado no sistema e depois assuma controle deste usuario. O
que agrava esta vulnerabilidade e' justamente o fato do primeiro usuario
ser o usuario administrador, que tem controle total sobre o sistema.
A vulnerabilidade permite que um usuario nao autenticado tenha acesso
remoto 'a implantacao de Joomla!, podendo ler ou alterar conteudo. Em 12
de agosto foi tornado publico um codigo malicioso (exploit) que tem sido
amplamente utilizado, especialmente em ataques de troca de pagina
(defacement), o que aumenta a criticidade na aplicacao destas correcoes.
Joomla! e' um dos sistemas CMS (Content Management System) com maior base
de usuarios, o que faz dele um alvo preferencial de ataques. Por este
motivo recomendamos que a atualizacao seja instalada o mais rapido
possivel.
SISTEMAS AFETADOS
. Joomla 1.5.5 e anteriores
CORRECOES DISPONIVEIS
Recomenda-se instalar a ultima versao do software, disponivel em:
. Download Joomla! 1.5.x
http://www.joomla.org/download.html
MAIS INFORMACOES
. SA31457 - Joomla "token" Password Change Vulnerability
http://secunia.com/advisories/31457/
. [20080801] - Core - Password Remind Functionality
http://developer.joomla.org/security/news/241-20080801-core-password-remind-functionality.html
. US-CERT Current Activity - Joomla! Password Reset Vulnerability
http://www.us-cert.gov/current/index.html#joomla_password_reset_vulnerability
. Joomla suffers already-exploited critical vulnerability
http://www.heise-online.co.uk/security/Joomla-suffers-already-exploited-critical-vulnerability--/news/111307
Identificador CVE (http://cve.mitre.org): CVE-2008-3681
O CAIS recomenda que os administradores mantenham seus sistemas e
aplicativos sempre atualizados, de acordo com as ultimas versoes e
correcoes oferecidas pelos fabricantes.
Os Alertas do CAIS tambem sao oferecidos no formato RSS/RDF:
http://www.rnp.br/cais/alertas/rss.xml
Atenciosamente,
################################################################
# CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS) #
# Rede Nacional de Ensino e Pesquisa (RNP) #
# #
# cais em cais.rnp.br http://www.cais.rnp.br #
# Tel. 019-37873300 Fax. 019-37873301 #
# Chave PGP disponivel http://www.rnp.br/cais/cais-pgp.key #
################################################################
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.6 (GNU/Linux)
Comment: Made with pgp4pine 1.76
iQCVAwUBSKXZl+kli63F4U8VAQE6iQP+Mbq1AmnkLYydxITi3lvs5gpqHu92rEtH
5F5VyDfsG2ob7FDfDWl0qb9rytj9TXbjW0fk3Pfxx30SUyuytkBXvlFdrr2egE2D
Gp/Dpqy2bAEFJVlbVGCJJXXFdWKOwapMZq/9WtQiN8bL0LoV+wDC2Ss730CiIKBN
KA3OeWwZVz0=
=dTL2
-----END PGP SIGNATURE-----
----- End forwarded message -----
Mais detalhes sobre a lista de discussão SECURITY-L