Joomla 3.4.6: tre motivi per l'aggiornamento immediato

Gli sviluppatori del noto CMS Open Source hanno rilasciato nello scorse ore Joomla 3.4.6, ennesimo aggiornamento del progetto che dovrebbe portare al rilascio di una definitiva della versione 3.5, attualmente in fase beta, non prima della seconda metà di febbraio 2016; si tratta in tutto e per tutto di una security release, un upgrade apparentemente secondario perché non introduce novità dal punto di vista delle funzionalità, ma che risolve importanti problematiche per la sicurezza.

Nel complesso Joomla 3.4.6 dovrebbe correggere tre vulnerabilità, due classificate come a basso livello di priorità, ma in ogni caso non trascurabili, e una terza associata ad un livello di priorità alto che motiva invece il consiglio da parte degli esponenti della Open Source Matters di effettuare quanto prima un aggiornamento delle proprie installazioni in produzione all'ultima release implementata.

Per quanto riguarda le due vulnerabilità meno preoccupanti, una di essere dovrebbe riguardare tutte le versioni di Joomla a partire dalla 3.2.0 fino alla 3.4.5; nello specifico essa farebbe riferimento ad un rischio di attacco basato sulla CSRF (Cross-site Request Forgery) e coinvolgerebbe il componente com_templates. Più ristretto l'intervallo di release coinvolto dalla seconda vulnerabilità, cioè dalla 3.4.0 alla 3.4.5; in questo caso sarebbe stato identificato un problema di sanitizzazione adeguata degli input provenienti dall'XML per l'installazione.

Relativamente alla problematica più grave, quest'ultima sarebbe stata riscontrata nelle release comprese tra la 1.5 e la 3.4.5, sarebbero quindi coinvolte anche installazioni di vecchissima data che per diversi motivi non sono state migrate ai rami più recenti; a livello tecnico ci si troverebbe davanti ad un pericolo di esecuzione di codice malevolo da remoto. In sostanza, essa sarebbe riconducibile ad un'inadeguata applicazione dei filtri sui dati nel salvataggio dei valori di sessione all'interno del database.

Via Joomla