. . .

Patch schließt Joomla! CSRF-Sicherheitslücke

mediahofs inoffizieller Patch für Joomla! 1.0.13 schließt die bekannt gewordene "Cross-site request forgery"-Sicherheitslücke.

Empfehlenswert für Administrationsarbeiten am CMS Joomla! ist die Verwendung eines zu einer Desktopapplikation umgewandelten Webbrowsers. Das Mozilla Prism-Projekt bietet eine kostenfreie Lösung.

Wie arbeitet das Script?

In der Datei administrator/components/com_users/admin.users.php werden an den Anfang des  Seitencodes folgende Codezeilen hinzugefügt, welche das Absenden von Formularen von einer dem Administrationsbackend parallelen Seite unterbindet. Hierzu prüft und vergleicht die eingefügte Anweisung, ob die Anfrage von der selben URL (okay) oder von einer anderen URL (cross-site) abgesendet wurde.
...
defined( '_VALID_MOS' ) or die( 'Restricted access' );
// start CSFR-patch
global $mosConfig_live_site;
if( substr($_SERVER['HTTP_REFERER'],0 , strlen($mosConfig_live_site)) != $mosConfig_live_site)
{
    mosRedirect( 'index2.php', _NOT_AUTH );
}
// end of CSFR-patch
...

Einschränkungen

Der CSRF-Patch benötigt die Übergabe des Referers.  Diese Übergabe kann im Klienten-Browser
(manuell oder durch Malware-Blocker wie z.B. Norton Antivirus) abgeschaltet sein. In diesem Fall bleibt ein CSRF-Angriff ebenfalls wirkungslos. Ein gewolltes Anlegen eines neuen Users ist aber ebenfalls nicht möglich und wird mit dem System-Reply "nicht autorisierter Zugriff" abgelehnt.

Download

Den Patch einfach downloaden, entpacken und mit kompletter Verzeichnisstruktur in das Joomla!-Verzeichnis kopieren.


Alternativ und völlig sicher

Die sicherste Lösung ist die Verwendung eines umgewandelten "sicheren" Webbrowsers für die Administration von Joomla!-Websites. Das Prism-Projekt von Mozilla bietet eine entsprechende und kostenlose Anwendung: http://wiki.mozilla.org/Prism

Hier finden Sie Expertenaussagen auf dem Blog von Phil Taylor, Full Time Professional Joomla Expert.
  • mediaho slideshow
  • mediaho slideshow
  • mediaho slideshow
  • mediaho slideshow
  • mediaho slideshow
  • mediaho slideshow
  • mediaho slideshow
  • mediaho slideshow
  • mediahof slideshow
  • mediahof slideshow
  • mediahof slideshow
  • mediahof slideshow
  • mediahof slideshow
  • mediahof slideshow
  • mediahof slideshow
  • mediahof slideshow
  • mediahof slideshow
  • mediahof slideshow
  • mediahof slideshow
  • mediahof slideshow
  • mediahof slideshow
  • mediahof slideshow
  • mediahof slideshow
  • mediahof slideshow
  • mediahof slideshow
  • mediahof slideshow
  • mediahof slideshow
  • mediahof slideshow
  • mediahof slideshow
  • mediahof slideshow
  • mediahof slideshow
  • mediahof slideshow