Joomla-Sicherheitslücke - Critical 0-day Remote Command Execution Vulnerability in Joomla

Neue Joomla-Sicherheitslücke -> Dringendes Update security alert
security alert

Siehe Joomla Security:

"The Joomla security team have just released a new version of Joomla to patch a critical remote command execution vulnerability that affects all versions from 1.5 to 3.4.

This is a serious vulnerability that can be easily exploited and is already in the wild. If you are using Joomla, you have to update it right now.

Remote Code Execution
There is a security issue in Joomla! from Joomla 1.5 up until 3.4.5 related to remote code execution. This was followed up with some longer term fixes in Joomla 3.4.7

If you are using the old (unsupported) versions 1.5.x and 2.5.x, you have to apply the hotfixes from here (https://docs.joomla.org/Security_hotfixes_for_Joomla_EOL_versions).

Zero day Exploits in the Wild

What is very concerning is that this vulnerability is already being exploited in the wild and has been for the last 2 days. Repeat: This has been in the wild as a 0-day for 2 days before there was a patch available.

Looking back at our logs, we detected the first exploit targeting this vulnerability:

2015 Dec 12 16:49:07 clienyhidden.access.log
Src IP: 74.3.170.33 / CAN / Alberta
74.3.170.33 – – [12/Dec/2015:16:49:40 -0500] “GET /contact/ HTTP/1.1” 403 5322 “http://google.com/” “}__test|O:21:\x22JDatabaseDriverMysqli\x22:3: ..
{s:2:\x22fc\x22;O:17:\x22JSimplepieFactory\x22:0: .. {}s:21:\x22\x5C0\x5C0\x5C0disconnectHandlers\x22;a:1:{i:0;a:2:{i:0;O:9:\x22SimplePie\x22:5:..
{s:8:\x22sanitize\x22;O:20:\x22JDatabaseDriverMysql\x22:0:{}s:8:\x22feed_url\x22;s:60:..

and:

access.log:52.32.210.122 - - [01/Feb/2016:11:09:12 +0100] "GET / HTTP/1.1" 200 7348 "-" "}__test|O:21:\"JDatabaseDriverMysqli\":3:
{s:2:\"fc\";O:17:\"JSimplepieFactory\":0:{}s:21:\"\\0\\0\\0disconnectHandlers\";a:1:{i:0;a:2:{i:0;O:9:\"SimplePie\":5:{s:8:\"sanitize\";O:20:\"JDatabaseDriverMysql\":0:
{}s:8:\"feed_url\";s:3854:\"eval(base64_decode('JGNoZWNrID0gJF9TRVJWRV…..gkZnApOw=='));JFactory::getConfig();exit\";s:19:\
"cache_name_function\";s:6:\"assert\";s:5:\"cache\";b:1;s:11:\"cache_class\";O:20:\"JDatabaseDriverMysql\":0:
{}}i:1;s:4:\"init\";}}s:13:\"\\0\\0\\0connection\";b:1;}\xf0\xfd\xfd\xfd"


We modified the payload so it can’t be misused, but the attackers are doing an object injection via the HTTP user agent that leads to a full remote command execution.

The wave of attacks is even bigger, with basically every site and honeypot we have being attacked. That means that probably every other Joomla site out there is being targeted as well.

Protect Your Site Now

If you are a Joomla user, check your logs right away. Look for requests from 146.0.72.83 or 74.3.170.33 or 194.28.174.106 as they were the first IP addresses to start the exploitation. I also recommend searching your logs for “JDatabaseDriverMysqli” or “O:” in the User Agent as it has been used in the exploits. If you find them, consider your Joomla site compromised and move to the remediation / incident response phase.

Note that clients behind our Website Firewall were already protected against this threat and are safe. Yes, our virtual patching for the HTTP User Agent kept ours users protected against this exploit.

If you use Joomla, update ASAP!

For those on the 3.x branch, update immediately to 3.4.6.

If you need help - call us: +49 89 130 133 60



 

Die neusten Sicherheits-Updates

Hier finden Sie die aktuellen Sicherheits-Updates für die gängigsten Programme. Die Update-Tabelle wird regelmäßig aktualisiert und bei Bedarf erweitert.

Online Kriminelle nutzen Sicherheitslücken in beliebten Programmen aus, um auf diese Weise Evilware, Junkware oder Malware aller Art einzuschleusen. Die Hersteller stellen Sicherheits-Updates bereit, um bekannt gewordene Lücken zu schließen. 

Überprüfen Sie daher regelmäßig, ob Ihre installierten Programme auf dem neuesten Stand sind. Die folgende Tabelle führt die jeweils neuesten Versionen derjenigen Programme auf, für die in letzter Zeit Sicherheits-Updates erschienen sind - auf Unix haben Sie die Möglichkeit dieses mit dem Tool rkhunter (Scanning for Rootkits with rkhunter) aufzuspüren. LINK: http://rkhunter.sourceforge.net

 Auszug der Wichtigsten - Stand 02.12.2015 

Software

Version

Datum

Risikostufe

Download

Adobe AIR

19.0.0.241

10.11.2015

hoch

ADOBE

Adobe Acrobat Reader DC

2015.009.20069

13.10.2015

hoch

ADOBE

Chrome

47.0.2526.73

01.12.2015

hoch

Google

FileZilla

3.14.1

16.09.2015

niedrig

filezilla-project

Firefox

42.0

03.11.2015

hoch

mozilla

Flash Player

19.0.0.245

10.11.2015

hoch

ADOBE

Foxit Reader

7.2.8.1124

27.11.2015

kein

foxitsoftware

Fritz!OS

6.30

14.07.2015

kein

AVM

Fritzbox-Firmware

je nach Modell

01.02.2014

kritisch

AVM

Internet Explorer

Patch Day  November 2015

10.11.2015

hoch

Microsoft

IrfanView

4.40

31.07.2015

kein

irfanview.com

iTunes

12.3

16.09.2015

hoch

Apple

Java 8 Runtime (JRE)

Java 8 Update 65 (1.8.0_65)

20.10.2015

hoch

ORACLE

LibreOffice

5.0.3

03.11.2015

k.A.

libreoffice.org

Microsoft Office

Patch Day  November 2015

10.11.2015

hoch

Microsoft

Open Office

4.1.2

28.10.2015

hoch

openoffice.org

Opera

33.0.1990.115

17.11.2015

kein

opera.com

Pegasus Mail

4.70

08.03.2014

niedrig

pmail.com

PHP

5.6.16

26.11.2015

kein

PHP.net

Pidgin IM

2.10.11

23.11.2014

niedrig

pidgin.im

Quicktime Player

7.7.8

20.08.2015

hoch

Apple

RealTimes (RealPlayer)

18.1.2.175

16.11.2015

kein

RealTimes

Seamonkey

2.39

09.11.2015

hoch

SeaMonkey

Shockwave Player

12.2.2.172

24.11.2015

kein

ADOBE

Thunderbird

38.4.0

25.11.2015

k.A.

Mozilla

Trillian IM

5.6.0.5

26.05.2015

kein

Trillian.im

VLC Media Player

2.2.2

06.02.2016

hoch

videolan.org

VMware Workstation Player

12.0.1

29.10.2015

kein

VMWare

Windows

Patch Day  November 2015

10.11.2015

hoch

Microsoft

WinSCP

5.7.6

04.11.2015

niedrig

WinSCP

Wireshark

2.0.0

19.11.2015

kein

Wireshark

Xnview

2.34

10.09.2015

kein

Xnview

 

 

Achtung: Gefälschte Emails mit Malware im Umlauf

Derzeit werden gefälschte Emails versendet, die Domaininhaber zum Download einer Programmdatei bewegen sollen. Inhalt dieser Programmdatei ist eine Malware, die sich auf dem lokalen PC installiert. Bitte informieren Sie Ihre Kunden darüber, dass dieser Link unter keinen Umständen geöffnet werden darf.

Die in den Emails verwendeten Daten stammen aus dem öffentlichen WHOIS der Registrierstellen und Registrare, die zwar in den meisten Fällen über Zugriffbeschränkungen verfügen, diese jedoch durch zahlreiche Abfragen aus verschiedenen Netzen umgangen werden.

===============8<===============
Betreff:  Domain Name [Domainname] have been suspended
Datum:  [Datum und Uhrzeit]
Von:  [Name des Registrares]
An:  [Empfängeradresse]

Dear [Name des Domaininhabers],

The Domain Name [Domainname] have been suspended for violation
of the [Name des Registrares] Abuse Policy.

Multiple warnings were sent by [Name des Registrares] Spam and Abuse
Department to give you an opportunity to address the complaints we have
received.

We did not receive a reply from you to these email warnings so we then
attempted to contact you via telephone.

We had no choice but to suspend your domain name when you did not
respond to our attempts to contact you.

Click here and download
<http://[Malware-URL]/abuse.php?[Domainname]>a copy of
complaints we have received.

Please contact us for additional information regarding this notification.

Sincerely,

[Name des Registrares]

Spam and Abuse Department
===============8<===============




ICANN Whois Accuracy Program

Diese Vorgabe wurde mit dem RAA 2013 eingeführt und soll die WHOIS-Daten weltweit verlässlicher machen. Hierzu schreibt die ICANN allen akkreditierten Registraren vor, die Emailadresse der Domaininhaber nach einer Registrierung, einem Transfer oder
einer Datenänderung zu überprüfen. Kommt der Domaininhaber einer solchen Prüfanfrage nicht binnen 15 Tagen nach, so muss die Domain abgeschaltet werden.

Bestehende Domains und deren Handles sind hiervon NICHT betroffen. Diese gelten als bereits "validiert". Wir starten das Programm am 05.11.2015 für Domains unter den nTLDs. Für alle restlichen Domains unter den alten gTLDs beginnen wir am 01.12.2015 mit der Validierung.

Folgende Aktionen an einer Domain führen zum Start der
Validierung:

   - Registrierung
   - Transfer
   - Änderung der Inhaberdaten

Jedoch nur dann, wenn

   - das verwendete Inhaberhandle (Owner-C) noch nicht zuvor validiert wurde

Der Vorgang wird abgeschlossen/abgebrochen, wenn zwischenzeitlich

   - ein neues Inhaberhandle (Owner-C) für die Domain eingetragen wird
   - die Validierung für eine andere Domain mit gleichem Inhaberhandle (Owner-C) erfolgreich abgeschlossen wurde

Wenn der Domaininhaber nicht unmittelbar auf die Prüfanfrage reagiert, dann

   - erhält der Domaininhaber alle 48 Stunden eine Erinnerung per Email
   - wird dem für die Domain zuständigen Provider am 7., 14. und 21. Tag nach dem Start der Prüfung eine Nachricht zugestellt (Typ "message")
   - wird die Domain am 21. Tag als "nicht verifiziert" gekennzeichnet. Aktuell nehmen wir zu diesem Zeitpunkt (entgegen der Vorgabe der ICANN) noch keine direkte Abschaltung der Domain vor, sondern versuchen den Vorgang anderweitig zu klären.

Oracle Lizenzierung 12c

Oracle DB SE2

 

Neu: 

Produkt Oracle Database Standard Edition 2 (ist verfügbar ab 12c Release 1 (12.1.0.2)). 

 

Die speziellen Highlights zur SE2 Anpassung in Kurzform:

 

  • Minimum: 10 NUP pro Server
  • Maximal 2 Sockel im Server
  • Technische Einschränkung auf ein Maximum von 16 CPU threads zu jeder Zeit
  • Real Application Cluster ist in der Lizenz einer DB SE2 enthalten
  • im Cluster maximal 2 Sockel bestückbar (das heißt pro Server einen Sockel maximal 2 Server)
  • im Cluster maximal 8 CPU threads je Server

 

Übersicht Named User Plus Lizenzierung:

 

Produkt

Listenpreis

EUR / User

   

Standard Edition One

156,00

   

Standard Edition

304,00

   

Standard Edition 2

304,00

   

Enterprise Edition

825,00

   

 

 

Übersicht Prozessor Lizenzierung:

 

Produkt

Listenpreis

EUR / User

   

Standard Edition One

5.036,00

   

Standard Edition

15.194,00

   

Standard Edition 2

15.194,00

   

Enterprise Edition

41.240,00

   

 

der Oracle-In-Memory-Spezialist

 

it-soft consulting hat an einer Spezialisierung zum Thema In-Memory teilgenommen und startet damit durch zum Oracle-In-Memory-Spezialisten. Sie wickeln mithilfe Ihrer Datenbank Transaktionen sowie aufwendige und zeitraubende Analysen ab? Können Sie sich auch vorstellen diese Analysen um das 100-fache zu beschleunigen? Weiterhin können auch anfallende Transaktionen doppelt so schnell durchlaufen.Wie das funktioniert? Verantwortlich für diese innovative Leistungssteigerung ist die neue Zusatzoption In-Memory aus dem Hause Oracle.

it-soft consulting hat sich dank einer intensiven Schulung fortgebildet ist nun Oracle „In-Memory“ Spezialist. Dieses Wissen wollen wir nun natürlich auch mit Ihnen teilen.

Haben wir Ihr Interesse zum folgenden Thema geweckt, so besuchen Sie unser Oracle In-Memory Seminar und legen Sie damit den Grundbaustein für eine starke Performancesteigerung Ihrer Datenbank und somit auch wirtschaftliches Nutzen.

 

Oracle 12c In-Memory

 

Das Seminar vermittelt detailliertes Know-How zu den Funktionen und Nutzen der neuen Zusatzoption In-Memory aus dem Hause Oracle. Konzepte, Vorteile, Installation und Verwaltung von In-Memory werden dargestellt. Die Darstellungen werden mit Beispiel-Scripts und Live-Demonstrationen unterstützt. In Übungen wird das Wissen praxisgerecht vertieft und gefestigt.

 

Schulungstermin: 

Schulungsort: München

 

Kursinhalte Oracle In-Memory:

 

  • Einführung: Die Oracle SGA: Cache-Bereiche und ihre Funktion
  • Die Oracle In-Memory Option: Überblick
  • Zeilen- und spaltenorientierte Ablage der Daten im Cache
  • Synchronisierung und Transaktionskonzept
  • Einrichtung und Verwaltung von In-Memory
  • Neue Statistiken und Warteereignisse
  • In-Memory und der Optimizer: Ausführungspläne bei Verwendung der neuen Option
  • In-Memory und Indizierung
  • Verwendung: Best Practice
  • Informationen: Neu Views und Spalten im Data Dictionary

 

Wir freuen uns auf Ihre Anmeldung. Bei Fragen oder Interesse, antworten Sie einfach auf diese E-Mail oder rufen Sie uns an unter +49 89 189 55 15 00

 

Weitere Beiträge ...