Thema: [Sammelthread] Joomla 1.0.11 bis 1.0.13 - Sicherheitswarnungen

Hallo,

um hunderten Fragen vorzubeugen, habe ich mich mal schnell entschlossen diesen Thread hier zu eröffnen um Anfragen in Zusammenhang mit dieser Sicherheitswarnung hier vorzubeugen:

Following PHP Server Settings are not optimal for Security and it is recommended to change them:
* PHP register_globals setting is `ON` instead of `OFF`
* Joomla! RG_EMULATION setting is `ON` instead of `OFF` in file globals.php
`ON` by default for compatibility reasons

1.: Was heißt das?
Joomla hat festgestellt, dass der Server mit register_globals ON konfiguriert ist und eine Joomla-interne Funktion, nämlich das simulieren der PHP-Einstellung "register_globals" aktiviert ist. Ist register_globals ON bzw. die Emulation aktiviert, so entstehen große Sicherheitslücken, die besonders unsicheren Third-Party Erweiterungen angreifbar machen.

2.: Warum bauen die in Joomla eine Sicherheitslücke ein?
Das ist eine gute Frage! In der aktuellen Joomla 1.0.x Serie ist die Emulation noch aktiviert, um die Kompatibilität zu Third-Party Erweiterungen zu gewährleisten. Eine Liste mit Komponenten die ohne die Emulation nicht laufen gibt es hier:
http://forum.joomla.org/index.php/topic,86525.0.html


3.: Was kann ich jetzt tun um die Lücke zu schließen?
Es gibt je nach Provider die möglichkeit register_globals auf dem Server über eien eigene php.in oder die .htaccess Datei selber auszuschalten.
In der .htaccess oben das ergänzen:

Code:

php_flag register_globals off
php_flag magic_quotes_gpc on <-- Optional
php_value register_globals off  <-- Optional

Um die Joomla Emulation von register_globals zu deaktivieren
- Joomla 1.0.13 --> Einstellung in der Global Configuration im Tab Server
- bis Joomla 1.0.12 muss in der globals.php die Zeile

PHP-Code:

define( 'RG_EMULATION',1 ); 


ersetzt werden durch

PHP-Code:

define( 'RG_EMULATION', 0 ); 


Doch Vorsicht: unter Umständen kann es sein, dass einige Komponenten/Module/Mambots nun nicht mehr korrekt funktionieren! Hier mal eine derzeitige Übersicht dazu! In einem solchen Fall hilft nur abwarten und Tee trinken...oder AUF EIGENES RISIKO!!! die Emulation aktiviert lassen. In einem solchen Fall sollte aber in jedem Fall die zusätzliche Absicherung mittels .htaccess durchgeführt werden (dies sollte im übrigen auch getan werden, falls die Emulation deaktiviert wurde)!

Gruß David
----------------------------------
EDIT Achim/ cybergurk:

Version 1.0.12

Frage: Was hat das zu bedeuten bei einer Installation übers Backend?

Warning: Installing 3rd party extensions may compromise your server's security. Upgrading your Joomla! installation will not update your 3rd party extensions.
For more information on keeping your site secure, please see the Joomla! Security Forum

Antwort: Vielleicht etwas verständlicher auf Deutsch

Warnung: Installationen von 3rd Partys Extensionen/Erweiterungen (Komponenten-Module-Mambots-Templates etc..), können Ihren Server kompromittieren /gefährden, was die Sicherheit angeht. Auch wenn Sie ein Update auf die neueste Joomla! Version machen, betrifft es NICHT die 3rd Partys Extensionen/Erweiterungen. Das soll heißen, das NICHT Ihre zusätzlichen instalierten 3rds ebenfalls aktualisiert werden. Diese müssen Sie selbst immer auf den neuesten Stand halten!
Für mehr Informationen bezüglich der Sicherheit informieren Sie sich bitte hier im Joomla! Security Forum / Sicherheitsforum (allerdings in Englisch)

Zitat von juergentraum

Eine Frage hätte ich noch dazu.. wenn meine Einstellungen der php.ini auf "ON" gesetzt sind (für mich nicht veränderbar) und ich die Emulation auf "OFF" stelle bin ich dann sicher oder bringt dann die ganze Emulation nichts?

Öhm, bin ich überfragt, mal predator fragen...glaube der hatte eine globals.php die register_globals off erzwingt...

Gruß Snipy

Moin.

Zitat von SniperSister

Öhm, bin ich überfragt, mal predator fragen...glaube der hatte eine globals.php die register_globals off erzwingt...

In der 1.0.10 ist das schon so, wenn man dort trotz php.ini Einstellung die Emulation ausstellt, wird halt register_globals = off nachgestellt. Finde ich recht praktisch da ich so auch auf einen On-System den CBE mit off testen kann. ... und bislang habe ich keine Unterschiede zu einem php.ini off plus Emu off System in Bezug auf Joomla / CBE festgestellt.

Gruss
Phil.

na dann passts ja.. kann ich mich gleich um einiges sicherer fühlen
(zumindest was register globals betrifft)

EDIT: Zu früh gefreut, damit funktioniert das Akobook nicht mehr. mal schauen vielleicht gibts ja was

Zitat von juergentraum

EDIT: Zu früh gefreut, damit funktioniert das Akobook nicht mehr. mal schauen vielleicht gibts ja was

Am besten weg mit dem alten Ako-Quatsch. Das EasyGuestbook von http://joomla-addons.org funktioniert wunderbar und man kann die alten Einträge mit einem SQL-Befehl in phpMyAdmin übernehmen.

Viele Grüße,
Zorro

Moin Zorro
alter SQL Kommode ;-)

am besten schreibst du auch gleich, wie es mit dem PHPadmin funktioniert :-)

Gruss
T

http://www.joomla-addons.org/faq/vie...obook/136.html

Viele Grüße,
Zorro

Hi,
dazu existiert schon ein Thread
http://www.joomlaportal.de/sicherhei...emulation.html