Archivio tag: cross-site-scripting

Vulnerabilità nella formattazione dei numeri in Rails

mercoledì 19 febbraio 2014 - 11:56

di Claudio Garau

Il framework Ruby on Rails sarebbe affetto da una vulnerabilità di tipo XSS (Cross-site scripting) rilevata a carico dei metodi number_to_currency (per la conversione di un numero in un formato valutario), number_to_percentage (per la formattazione in punti percentuali) e number_to_human (per la formattazione delle cifre in un formato leggibile); a tale problematica è stato associato l’identificatore univoco CVE-2014-0081 intitolato “Rails XSS vulnerability in number formatting“.…

Continua a leggere Vulnerabilità nella formattazione dei numeri in Rails

Tags:,

Categoria: cross-site-scripting | Permalink | Commenta

Drupal 6.6 e 5.12: nuovi aggiornamenti di sicurezza

venerdì 24 ottobre 2008 - 15:14

di Claudio Garau

Continuano i rilasci di aggiornamenti di sicurezza per Drupal, a poche settimane dagli upgrade 6.5 e 5.11 sono ora disponibili le versioni 6.6 e 5.12, appositamente realizzate per riparare alcune vulnerabilità  (anche gravi) rilevate nelle release precedenti.

Le falle risolte con gli aggiornamenti sono state definite di livello critico, quindi è fortemente raccomandato il passaggio alle nuove versioni.…

Continua a leggere Drupal 6.6 e 5.12: nuovi aggiornamenti di sicurezza

Tags:, , , ,

Categoria: cross-site-scripting | Permalink | Commenta

Drupal 6.4 e 5.10 risolvono un bug “Highly critical”

martedì 2 settembre 2008 - 15:27

di Claudio Garau

A pochi giorni dal rilascio di Drupal 6.3 e Drupal 5.9 gli sviluppatori del noto CMS Open Source sono tornati a lavoro in piena estate per un aggiornamento di sicurezza che ha richiesto il rilascio di due nuove versioni: Drupal 6.4 e 5.10; l’upgrade non poteva essere procrastinato in quanto il bug da risolvere è “Highly critical”.

Le vulnerabilità  rilevate espongono l’applicazione a numerosi rischi, quindi per chi non avesse già  agito è consigliabile recarsi nell’apposita pagina in cui sono disponibili i file per il download, scaricare i pacchetti per l’aggiornamento e procedere con l’upgrade.…

Continua a leggere Drupal 6.4 e 5.10 risolvono un bug “Highly critical”

Tags:, , , , ,

Categoria: cross-site-scripting | Permalink | Commenta

Anche Drupal 6 si aggiorna per una vulnerabilità 

lunedì 3 marzo 2008 - 15:02

di Claudio Garau

Dopo Joomla 1.5 e WordPress 2.3.2 ora è il turno di Drupal 6, anche questo CMS subisce il suo primo aggiornamemento di sicurezza a causa di un bug rilevato nella nuova versione. La corsa alla nuova release ha quindi mietuto un’altra vittima e gli utenti, che si stavano godendo da pochi giorni l’ultima versione di quello che rimane uno dei migliori Content Manager in circolazione, dovranno ora soddisfare l’ennesima richiesta di aggiornamento.

Il 27 Febbraio, cioè neanche 15 giorni dopo il rilascio della versione 6, Gà¡bor Hojtsy ha pubblicato nel sito ufficiale del CMS un articolo intitolato “Drupal

Continua a leggere Anche Drupal 6 si aggiorna per una vulnerabilità 

Tags:, , , , ,

Categoria: cross-site-scripting | Permalink | Commenta

Ancora problemi di sicurezza per Joomla 1.0.x

martedì 26 febbraio 2008 - 15:24

di Claudio Garau

In questi giorni il team di sviluppo di Joomla si trova impegnato non solo nel lavoro relativo al lancio delle nuove versioni stabili ma anche nella soluzione di bug (qualche volta anche abbastanza seri) che coinvolgono sia la distribuzioni 1.5.x che la 1.0.x tuttora in sviluppo.

Questo fiorire di vulnerabilità  mostra una grande velocità  del team nell’individuazione e nella correzione dei problemi, nello stesso tempo però denuncia anche una certa fretta nel rilascio delle release definitive.…

Continua a leggere Ancora problemi di sicurezza per Joomla 1.0.x

Tags:, , , ,

Categoria: cross-site-scripting | Permalink | Commenta

CMS e sicurezza, uno sguardo su Secunia

lunedì 12 novembre 2007 - 15:10

di Claudio Garau

Giusto per curiosità  mi sono fatto un giro su Secunia, una delle maggiori società  mondiali nel settore della sicurezza informatica, per documentarmi un po’ sugli avvisi di sicurezza che col passare degli anni hanno coinvolto i diversi CMS; ho ristretto la ricerca a quelli più utilizzati ma il motore di Secunia legge un database talmente vasto che permetterà  sicuramente di trovare informazioni sui pericoli che hanno coinvolto altre applicazioni di cui non farà il nome per non dilungarmi troppo.

Non intendo in alcun modo fare una classifica dei CMS più o meno sicuri, la mia ricerca si è svolta …

Continua a leggere CMS e sicurezza, uno sguardo su Secunia

Tags:, , , ,

Categoria: cross-site-scripting | Permalink | Commenta

AJAX: basi di sicurezza

martedì 18 luglio 2006 - 10:00

di Francesco Caccavella

Qualche giorno fa un bell'articolo pubblicato su SecurityFocus, di cui forniremo abbiamo fornito una traduzione fra alcuni giorni sul nostro canale dedicato alla sicurezza informatica, ha riproposto il tema della sicurezza nella progettazione di applicazioni Web, in particolare di applicazioni scritte in AJAX.

Dopo aver spiegato cosa è AJAX, gli autori passano subito al tema dell’articolo: "AJAX non introduce intrinsecamente nuove vulnerabilità  nel mondo delle applicazioni Web" e le applicazioni scritte con questa tecnologia "hanno di fronte le stesse problematiche delle applicazioni Web classiche". Ma "non sono state messe a punto buone pratiche comuni" che possono condurre a …

Continua a leggere AJAX: basi di sicurezza

Tags:, ,

Categoria: cross-site-scripting | Permalink | Commenta

Anche i CSS sono un pericolo (su IE)

lunedì 5 dicembre 2005 - 11:16

di Cesare Lamanna

Non sono un super-esperto di sicurezza, ma, per quel che ricordo, mai un problema di vulnerabilità  era stato collegato ai CSS.

La storia è quella del bug di Internet Explorer che secondo l’isrealiano Matan Gillon potrebbe mettere seriamente a repentaglio la sicurezza di dati sensibili presenti sul PC di un utente che usi il browser di Microsoft in combinazione con Google Desktop 2. Ne parlano, tra gli altri, Yahoo! News, InfoWorld e Punto Informatico.

Provando a caricare la pagina dell’exploit messa a punto da Gillon con diversi browser, si capisce subito che IE è l’unico ad …

Continua a leggere Anche i CSS sono un pericolo (su IE)

Tags:, , , , , ,

Categoria: cross-site-scripting | Permalink | Commenta