opgelost rechten compare.php

Welke rechten moet administrator/components/com_contenthistory/models/compare.php toegekend krijgen? 644 of 444?

Hoi Wim,

De bestandsrechten moeten 644 hebben. De enige uitzondering is eventueel de configuratie.php.
Deze mag 444 als rechten hebben. Als je dit doet, dan heeft dat als nadeel dat je als je iets wilt wijzigen je de rechten moet wijzigen naar 644 voordat dat kan.

Hallo Otto, bedankt voor je antwoord.

Punt is, dat ik van mijn host een melding kreeg dat dit bestand mogelijk verkeerde rechten/kwetsbaarheden heeft. Ik had de rechten op 644 staan maar dus voor de zekerheid maar even op 444 gezet heb.

Ik kreeg deze melding ook op paar Joomla 3.4.5 !! websites via Patchman.

Beetje vreemd, vraag me af of dit een false positive is of is er echt wat aan de hand?

Ik kreeg ook deze Patchman melding op een paar sites die ik donderdag al geupdate had.
Rechten van file staan op 644, en na automatisch patchen via Patchman nog steeds. Niks veranderd dus.
False positive vermoed ik dus ook. (Lees: Hoop ik.... )

Ik heb donderdag ook alle Joomla websites die ik in beheer heb geüpdate naar versie 3.4.5.

Vannacht via Patchman ook het bericht gekregen dat de rechten van compare.php niet goed staan. Heb een controle uitgevoerd en alles staan netjes op 644.

Ga er vooralsnog vanuit dat het een false positive is. Heb de provider al gemaild met deze vraag, wacht nog op antwoord (verwacht na het weekend)

Mochten er mensen meer nieuws hebben hoor ik dat graag

Dit heeft niets met de rechten van het bestand te maken. Waarom Patchman deze melding stuurt voor sites die al geüpdatet zijn naar 3.4.5 is mij ook nog een raadsel, maar het viel mij inderdaad ook al op. Bij sites die gisteren geüpdatet zijn komt toch de e-mail met de melding. Daarnaast spreekt de melding alleen over compare.php terwijl er meerdere bestanden in de map com_contenthistory aangepast zijn. Dus ik vermoed een foutje van Patchman.

Het gaat hierbij om een fout in com_contenthistory waarbij onvoldoende controle op de ACL werd uitgevoerd zodat het kwaadwillenden een ingang gaf om super user rechten te krijgen. Hiermee bestond dus de mogelijkheid dat de hele site besmet kon worden.

Het heeft met de rechten te maken volgens mij. Patchmam geeft de volgende foutmelding:

Verkeerde rechten-kwetsbaarheid in Joomla
/home/debxxxxx/domains/mijn domeinnaam/public_html/administrator/components/com_contenthistory/models/compare.php

Wat ik dus van jou nu begrijp is er in die map een aanpassing gedaan met de nieuwe 3.4.5 versie. Dan zal het inderdaad een false positive van Patchman zijn.

Zoals al aangegeven heeft het met ACL (in het Nederlands ook wel vertaald als rechten of gebruikersrechten) te maken

deze week veel website's naar 3.4.5 gezet en van allemaal komt deze melding (verschillende hosts)
/administrator/components/com_contenthistory/models/compare.php

Verkeerde rechten-kwetsbaarheid in Joomla

moet ik iets doen? 't is mij niet duidelijk.

Nogmaals.
Zoals Astrid ook al vertelde.
Dit heeft niets met de rechten van het bestand te maken.
Zoals al aangegeven heeft het met ACL (in het Nederlands ook wel vertaald als rechten of gebruikersrechten) te maken.
Maar de oorzaak ligt hoogstwaarschijnlijk bij Patchman.

dus conclusie: als de rechten op 644 staan, hoef ik verder niks te doen. Klopt?