[SECURITY-L] CAIS-Alerta: Vulnerabilidade no Joomla sendo explorada (SA31457)

CSIRT - UNICAMP security em unicamp.br
Seg Ago 18 10:26:46 -03 2008 

----- Forwarded message from Centro de Atendimento a Incidentes de Seguranca <cais em cais.rnp.br> -----

From: Centro de Atendimento a Incidentes de Seguranca <cais em cais.rnp.br>
Subject:  CAIS-Alerta: Vulnerabilidade no Joomla sendo explorada (SA31457)
To: pop-seg em cais.rnp.br, rnp-alerta em cais.rnp.br, rnp-seg em cais.rnp.br
Date: Fri, 15 Aug 2008 16:31:21 -0300 (BRT)

-----BEGIN PGP SIGNED MESSAGE-----


Prezados,

O CAIS esta' repassando o alerta da Secunia, intitulado "SA31457 - Joomla 
"token" Password Change Vulnerability", que trata de uma vulnerabilidade 
critica identificada no gerenciador de conteudo web Joomla.

Quando e' solicitado o "reset" da senha de um usuario do sistema o Joomla! 
envia um "token" por e-mail, um recurso e' util no caso de perda da senha. 
A falha em questao esta' exatamente neste mecanismo, ao permitir que um 
usuario nao autenticado ou autorizado realize "reset" da senha do primeiro 
usuario habilitado no sistema e depois assuma controle deste usuario. O 
que agrava esta vulnerabilidade e' justamente o fato do primeiro usuario 
ser o usuario administrador, que tem controle total sobre o sistema.

A vulnerabilidade permite que um usuario nao autenticado tenha acesso 
remoto 'a implantacao de Joomla!, podendo ler ou alterar conteudo. Em 12 
de agosto foi tornado publico um codigo malicioso (exploit) que tem sido 
amplamente utilizado, especialmente em ataques de troca de pagina 
(defacement), o que aumenta a criticidade na aplicacao destas correcoes.

Joomla! e' um dos sistemas CMS (Content Management System) com maior base 
de usuarios, o que faz dele um alvo preferencial de ataques. Por este 
motivo recomendamos que a atualizacao seja instalada o mais rapido 
possivel.


SISTEMAS AFETADOS

. Joomla 1.5.5 e anteriores


CORRECOES DISPONIVEIS

Recomenda-se instalar a ultima versao do software, disponivel em:

. Download Joomla! 1.5.x
  http://www.joomla.org/download.html


MAIS INFORMACOES

. SA31457 - Joomla "token" Password Change Vulnerability
  http://secunia.com/advisories/31457/

. [20080801] - Core - Password Remind Functionality
  http://developer.joomla.org/security/news/241-20080801-core-password-remind-functionality.html

. US-CERT Current Activity - Joomla! Password Reset Vulnerability
  http://www.us-cert.gov/current/index.html#joomla_password_reset_vulnerability

. Joomla suffers already-exploited critical vulnerability
  http://www.heise-online.co.uk/security/Joomla-suffers-already-exploited-critical-vulnerability--/news/111307


Identificador CVE (http://cve.mitre.org): CVE-2008-3681


O CAIS recomenda que os administradores mantenham seus sistemas e
aplicativos sempre atualizados, de acordo com as ultimas versoes e
correcoes oferecidas pelos fabricantes.

Os Alertas do CAIS tambem sao oferecidos no formato RSS/RDF:

http://www.rnp.br/cais/alertas/rss.xml

Atenciosamente,

################################################################
#   CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS)     #
#       Rede Nacional de Ensino e Pesquisa (RNP)               #
#                                                              #
# cais em cais.rnp.br       http://www.cais.rnp.br                #
# Tel. 019-37873300      Fax. 019-37873301                     #
# Chave PGP disponivel   http://www.rnp.br/cais/cais-pgp.key   #
################################################################
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.6 (GNU/Linux)
Comment: Made with pgp4pine 1.76

iQCVAwUBSKXZl+kli63F4U8VAQE6iQP+Mbq1AmnkLYydxITi3lvs5gpqHu92rEtH
5F5VyDfsG2ob7FDfDWl0qb9rytj9TXbjW0fk3Pfxx30SUyuytkBXvlFdrr2egE2D
Gp/Dpqy2bAEFJVlbVGCJJXXFdWKOwapMZq/9WtQiN8bL0LoV+wDC2Ss730CiIKBN
KA3OeWwZVz0=
=dTL2
-----END PGP SIGNATURE-----


----- End forwarded message -----

Mais detalhes sobre a lista de discussão SECURITY-L