Joomla a rischio attacco
Lunedì 7 Gennaio 2008 - 08:05
di sara.vellutini
Un messaggio sulla mailing list di sicurezza BugTraq ha messo in guardia tutti gli utilizzatori di Joomla su un grave bug presente nel popolare CMS open source.
Secondo quanto descritto nel bollettino tutte le versioni di Joomla, comprese l’ultima versione stabile 1.0.13 e la nuova 1.5 (fatta eccezione per la Release Candidate 4 da poco rilasciata) sono soggette a serie vulnerabilità.
L’attacco di tipo Cross-site request forgery permette a chiunque, senza bisogno di particolari privilegi, di aggiungere un nuovo Super Amministratore in un sito semplicemente facendo sì che un amministratore già esistente clicchi su un link.
Inoltre è possibile per chiunque caricare da remoto un’estensione, così da avere script PHP maligni sul server. Ma non è finita! E’ anche possibile cambiare qualsiasi aspetto della configurazione principale del sito, compresa quella del database.
Il bollettino pubblicato su BugTraq evidenzia come da parte del Dev Team si sia avuta una pronta risposta, rilasciando una patch di sicurezza inclusa in Joomla 1.5 RC4.
Per quanto riguarda le versioni 1.0.x invece gli sviluppatori non hanno ancora corretto la vulnerabilità.
Maggiori informazioni sono disponibili nel forum ufficiale e nel forum italiano.
Commenti
1
Aia… questa è brutta.
Speriamo riescano a realizzare una patch.
Nel frattempo informiamoci su come evitare di rischiare attacchi.# - postato da JoomlaShow - 07 Gennaio 2008 - 13:28
2
Sbaglio o nella sezione “defacement” ci sono articoli solamente di joomla? Lo staff si interessa solamente a questo CMS o quest’ultimo sta diventando un colabrodo?
# - postato da mem - 08 Gennaio 2008 - 11:04
3
Beh Joomla penso che sia in assoluto il CMS più usato e quindi attirà sicuramente una maggiore attenzione.
Da una parte è meglio così, perchè il team di sviluppo è molto attivo e con il passare del tempo avremo un prodotto sempre migliore e più sicuro.
Anche noi stando un minimo dietro questi avvenimenti possiamo imparare molto su come prendere degli accorgimenti a favore della sicurezza quando realizziamo piccole applicazioni in php e mysql.
# - postato da JoomlaShow - 08 Gennaio 2008 - 12:52
4
Secondo me sarebbe stato forse più utile fare prima la patch per le versioni 1.0.x, che sicuramente sono utilizzate da molti più utenti rispetto alla 1.5. Speriamo che arrivi presto.
# - postato da Paolo Nuti - 10 Gennaio 2008 - 22:25