Thema: Joomla 1.5.23 in Sicht?

Über die Bugtraq Mailingliste lief heute diese Mail.
Ich bin optimistisch, dass wir vor Weihnachten noch auf .23 updaten dürfen.

Von: MustLive <mustlive@websecurity.com.ua>
Reply-to: "MustLive" <mustlive@websecurity.com.ua>
An: bugtraq@securityfocus.com
Betreff: Vulnerabilities in Joomla
Datum: Sun, 28 Nov 2010 19:59:27 +0200

Hello Bugtraq!

I want to warn you about Insufficient Anti-automation and Abuse of
Functionality vulnerabilities in Joomla. Vulnerabilities exist in component
com_contact, which is a core component of Joomla.

SecurityVulns ID: 11272.

-------------------------
Affected products:
-------------------------

Vulnerable are all versions of Joomla with corresponding functionality
(Joomla! 1.5.22 and previous versions).

----------
Details:
----------

In details about such vulnerabilities, about sending of spam via web sites
and creating of spam-botnets it's possible to read in my article Sending
spam via sites and creating spam-botnets
(http://www.webappsec.org/lists/webse...msg00099.html).

Insufficient Anti-automation (WASC-21):

http://site/contact/

There is no protection at contact page from automated requests (captcha).

Abuse of Functionality (WASC-42):

http://site/contact/

Option "E-mail a copy of this message to your own address" at contact page
allows to send spam from the site to arbitrary e-mails. And with using of
Insufficient Anti-automation vulnerability it's possible to send spam from
the site in automated manner on a large scale.

------------
Timeline:
------------

2010.09.16 - announced at my site.
2010.09.18 - informed developers.
2010.09.22 - developers thanked, but ignored to fix these holes in their
system.
2010.09.22 - gave additional arguments to developers to fix these holes.
2010.11.27 - disclosed at my site.

I mentioned about these vulnerabilities at my site
(http://websecurity.com.ua/4536/).

Best wishes & regards,
MustLive
Administrator of Websecurity web site
http://websecurity.com.ua

Irre ich mich oder hatten wir das mit

Option "E-mail a copy of this message to your own address" at contact page allows to send spam...

so ähnlich auch in der 1.0.* ? Kann mich jedenfalls dran errinnern, dass damals auch von der Nutzung dieser Funktion abgeraten wurde.

Löst das Deaktivieren dieser Funktion denn das Problem (vorläufig)?

Zitat von joom_mob-i-co

Irre ich mich oder hatten wir das mit
so ähnlich auch in der 1.0.* ? Kann mich jedenfalls dran errinnern, dass damals auch von der Nutzung dieser Funktion abgeraten wurde.

Ja, die Spam-Technik ist nach wie vor dieselbe: Der Spammer gibt einfach als Absender eine Adresse aus seiner Liste an. An die geht der Spam und Absender ist für den Empfänger die Joomla-Site.

Der Grund, weshalb sich niemand darum gekümmert hat, dürfte ganz einfach sein: Der beschriebene Weg ist nicht reproduzierbar. Ich komme so weder mit noch ohne SEO, weder mit Deutsch noch Englisch als gewählter Frontendsprache mit dem angegeben en Link zum Formular, wenn es keinen freigegebenen Menülink mit dem Alias contact gibt. Es kommt immer ein 404. Kann irgendjemand anders den beschriebenen Weg reproduzieren?

So klappt es aber bei installierten Beispieldaten:
/index.php?option=com_contact&view=contact&id=1
Das liegt ganz simpel daran, daß beim installierten Beispielkontakt die Option eingeschaltet ist. Schaltet man sie aus, ist der "Bug" weg. Löscht man den Kontakt, kommt beim Aufruf ein 404. Hat man die Beispieldateien gar nicht installiert, gibt es keinen Kontakt mit dieser Id und es kommt ebenfalls ein 404, bis man selbst einen Kontakt anlegt. Dann ist aber die Einstellung per Default aus, kann also nicht versehentlich eingeschaltet bleiben. Wer sie selbst einschaltet, sollte wissen, was er tut. Auf allen von mir betreuten Kundenseiten ist sie aus.

Das Problem liegt also nicht wirklich in Joomla selbst, sondern in den Beispieldaten. Da die aber möglichst alle Optionen demonstrieren sollen, sind die Voreinstellungen nicht überall wirklich sinnvoll. Ich bezweifle, daß sie wegen einer nicht reproduzierbaren Bugmeldung geändert werden, und schon gar nicht wird deswegen ein Security Fix kommen.