Joomla3.6.4がリリースされました。
Joomla3.4.6から3.6.3を使っている方は、大至急Joomla3.6.4へアップデートしてください。2つの脆弱性、2段階認証の不具合が修正されます。
オープンソースのコンテンツ管理システム(CMS)「Joomla!」の深刻な脆弱性に対処する更新版が10月25日付で公開された。Joomla!を使っているWebサイトは直ちに更新するよう、強く勧告している。
Joomla!によると、更新版の「Joomla! 3.6.4」では2件の深刻な脆弱性を修正したほか、2要素認証に関する不具合にも対処した。
どんな脆弱性が修正されたのか?
Joomla3.6.4へアップデートすることで、以下の2つの脆弱性が改善されます。
- 第三者に勝手にユーザー登録される
- ユーザー登録の際、権限が昇格される
勝手にユーザー登録されたり、権限が昇格されてしまうというのは、CMSではあってはならないことです・・
だって、「Administrator権限」「Super User権限」でユーザー登録されたら、サイトのハッキングし放題ですから・・
Joomla3.4.6から3.6.3で起きる不具合です。が、Joomla3.4.6は、2015年12月にリリースされたバージョンなので、10ヶ月近くも放置されてたということになります。
Joomlaはこういうところにしっかりと開発リソースを割いていかないと、ユーザーは離れてしまいますよ。
ただでさえWordPressにユーザー奪われてますからね。
第三者に勝手にユーザー登録される
わたくしのJoomlaのテスト用サイトでは、勝手にユーザー登録されてしまいました。
管理者に登録しているメールアドレスに連絡が来ましたが、迷惑メールに入っていたので気がつきませんでした。
修正にはJoomla3.6.4へアップデートする以外に方法はないので、すぐにでもアップデートしてください。
ユーザー登録の際、権限が昇格される
わたくしのテストサイトでは、Administrator権限でユーザーが登録されました。
ユーザー登録の許可は「いいえ」になっているし、ゲストユーザーグループは「Guest」です。
それがAdministrator権限でユーザーを作られてしまうって、CMSとして致命的ですよね。
2段階認証の不具合
2段階認証の不具合は、アップデートした後に起こる問題です。
Joomla3.6.4へアップデートすると、2段階認証のセキュリティコードを入力してもエラーが出てログインできません。2段階認証は、Joomlaの標準装備の機能なので、アップデートしただけでエラーが出てログインできないというのは絶対にダメ。
この場合の解決方法は、2段階認証のセキュリティコードは何も入力せずに、IDとパスワードのみでログインしてください。なぜかログインできますので・・
その後、2段階認証を再設定すればOKです。
「ユーザー登録の許可」を「いいえ」に設定変更
Joomlaは、デフォルトのままだと、フロントエンドから第三者が勝手にユーザー登録できる仕様になっています。なので、Joomlaでサイト制作する場合、この設定を変更することは、基本中の基本です。
元々、Joomlaは、会員登録をするような大規模サイトの構築ツールだったので、こういう仕様になっているんですよね。でも、第三者が勝手にユーザー登録できるのがデフォルトって、最悪な仕様ですよね・・・
Joomlaでサイト構築をする場合、この点は真っ先に変更することをオススメします。
↓「ユーザー登録の許可」を「いいえ」に設定変更する方法を紹介します。
1. ユーザーアカウントに入る
Joomla管理画面で、「ユーザー → 管理」をクリックし、「ユーザー」画面を開きます。
2.画面右上の「オプション」をクリック
右上にある「オプション」をクリックします。
3.「ユーザー登録の許可」を「いいえ」に
「ユーザー登録の許可」を「いいえ」に変更して、左上の「保存」をクリックします。
Joomlaの脆弱性
最近、Joomlaの脆弱性をついた攻撃で、不具合が多発しています。
わたしのクライアントのサイトは、マメにアップデートしていることもあり、被害にあったり不具合が生じたことはありません。
ところが、知り合いのウェブ制作会社から、第三者によるクラックにより、Joomlaサイトに被害を受けたという話を何件か聞いたことがあります。
Joomlaの脆弱性を付いた攻撃や不具合を、時系列で見ていきましょう。
↓2015年12月 バックドアを仕込まれる
米Symantecによれば、現在も脆弱性が修正されていないサーバが多数存在しており、こうしたサーバを探索してバックドアを設置する攻撃を確認。同社が検知した「Joomla!」に対する攻撃は、12月16日以降、1日あたり平均1万6600件にのぼるという。
流通している悪用コードは、スキルがなくても比較的容易に攻撃へ利用できると分析。攻撃を受けたサイトは、エクスプロイトキットへのリダイレクトに悪用されていた。これ以外にも、マルウェアの配布や、DDoS攻撃の踏み台、情報漏洩といったリスクがあると同社は指摘している。
↓2016年3月 ファイルの改ざん
Joomlaのサイトの、以下のファイルを改ざんされるという被害が多発しました。
- /includes/defines.php
- /administrator/includes/defines.php
不正なPHPコードを取り除く
上記のファイルに、
「//istart」から「//iend」に挟まれた不正なPHPコードが挿入されていたらすぐに取り除いてください。全部削除します。
JPCERTコーディネートセンターの画像が分かりやすいので拝借すると、↓
↓2016年10月 Joolma3.6.2へアップデートした際の不具合
以下のエラーが出ました。
- 「インストールプラグインが有効になっていません。」というエラーが出た
- joomla input.php on line 141 というエラーが出た
修正方法は、以前のエントリーに詳しく書きましたので、参照してくださいね。
なぜJoomlaの脆弱性をついた攻撃が続くのか?
Joomlaの開発リソースが低いことが原因です。
これはJoomlaのシェアが低いことも影響しています。Joomlaのシェアは僅か5.4%だもん。
- WorePress 71.4%(59.1% + 12.3%)
- Dual 6.1%
- Joomla 5.4%
- Blogger 3.4%
- vBulletin 2%
まとめ
Joomlaの脆弱性をついた攻撃は、この1年間で繰り返し行われています。
Joomlaでサイト構築を行っている方は、随時アップデートを行うようにしてください。
日本語によるWordPressの情報ならばたくさんありますが、Joomlaの情報は少ないので、定期的に発信していこうと思っています。
Joomlaでサイト構築している方は、2段階認証も必ず行ってくださいね。
ナレッジ