Gli sviluppatori del noto Blog engine/CMS Open Source hanno reso disponibile WordPress 4.1.2; come spiegato nelle note di rilascio si tratta di una "critical" security release destinata ad aggiornare tutte le precedenti versioni dell'applicazione, motivo per il quale si raccomanda di passare quanto prima all'ultimo update disponibile. (more...)

Continua a leggere WordPress 4.1.2 Security Release

Categoria: CMS

Il framework Ruby on Rails sarebbe affetto da una vulnerabilità di tipo XSS (Cross-site scripting) rilevata a carico dei metodi number_to_currency (per la conversione di un numero in un formato valutario), number_to_percentage (per la formattazione in punti percentuali) e number_to_human (per la formattazione delle cifre in un formato leggibile); a tale problematica è stato associato l'identificatore univoco CVE-2014-0081 intitolato "Rails XSS vulnerability in number formatting". (more...)

Continua a leggere Vulnerabilità nella formattazione dei numeri in Rails

Categoria: Ruby

Continuano i rilasci di aggiornamenti di sicurezza per Drupal, a poche settimane dagli upgrade 6.5 e 5.11 sono ora disponibili le versioni 6.6 e 5.12, appositamente realizzate per riparare alcune vulnerabilità  (anche gravi) rilevate nelle release precedenti. Le falle risolte con gli aggiornamenti sono state definite di livello critico, quindi è fortemente raccomandato il passaggio alle nuove versioni. (more...)

Continua a leggere Drupal 6.6 e 5.12: nuovi aggiornamenti di sicurezza

Categoria: CMS

A pochi giorni dal rilascio di Drupal 6.3 e Drupal 5.9 gli sviluppatori del noto CMS Open Source sono tornati a lavoro in piena estate per un aggiornamento di sicurezza che ha richiesto il rilascio di due nuove versioni: Drupal 6.4 e 5.10; l'upgrade non poteva essere procrastinato in quanto il bug da risolvere è "Highly critical". Le vulnerabilità  rilevate espongono l'applicazione a numerosi rischi, quindi per chi non avesse già  agito è consigliabile recarsi nell'apposita pagina in cui sono disponibili i file per il download, scaricare i pacchetti per l'aggiornamento e procedere con l'upgrade. (more...)

Continua a leggere Drupal 6.4 e 5.10 risolvono un bug “Highly critical”

Categoria: CMS

Dopo Joomla 1.5 e WordPress 2.3.2 ora è il turno di Drupal 6, anche questo CMS subisce il suo primo aggiornamemento di sicurezza a causa di un bug rilevato nella nuova versione. La corsa alla nuova release ha quindi mietuto un'altra vittima e gli utenti, che si stavano godendo da pochi giorni l'ultima versione di quello che rimane uno dei migliori Content Manager in circolazione, dovranno ora soddisfare l'ennesima richiesta di aggiornamento. Il 27 Febbraio, cioè neanche 15 giorni dopo il rilascio della versione 6, Gà¡bor Hojtsy ha pubblicato nel sito ufficiale del CMS un articolo intitolato "Drupal 6.1 fixing security issues released"; il motivo di questo annuncio è da ricercarsi in un bug moderatamente critico rilevato nel core stesso della nuova versione di Drupal. (more...)

Continua a leggere Anche Drupal 6 si aggiorna per una vulnerabilità 

Categoria: CMS

In questi giorni il team di sviluppo di Joomla si trova impegnato non solo nel lavoro relativo al lancio delle nuove versioni stabili ma anche nella soluzione di bug (qualche volta anche abbastanza seri) che coinvolgono sia la distribuzioni 1.5.x che la 1.0.x tuttora in sviluppo. Questo fiorire di vulnerabilità  mostra una grande velocità  del team nell'individuazione e nella correzione dei problemi, nello stesso tempo però denuncia anche una certa fretta nel rilascio delle release definitive. (more...)

Continua a leggere Ancora problemi di sicurezza per Joomla 1.0.x

Categoria: CMS

Giusto per curiosità  mi sono fatto un giro su Secunia, una delle maggiori società  mondiali nel settore della sicurezza informatica, per documentarmi un po' sugli avvisi di sicurezza che col passare degli anni hanno coinvolto i diversi CMS; ho ristretto la ricerca a quelli più utilizzati ma il motore di Secunia legge un database talmente vasto che permetterà  sicuramente di trovare informazioni sui pericoli che hanno coinvolto altre applicazioni di cui non farà il nome per non dilungarmi troppo. Non intendo in alcun modo fare una classifica dei CMS più o meno sicuri, la mia ricerca si è svolta in modo molto semplice: "inserisco un nome nel modulo e vedo cosa ne viene fuori"; l'intenzione non era quella di ricavare statistiche precise, gli elementi che influenzano la sicurezza di un CMS non sono pochi, ivi compreso lo sviluppo di estensioni di terze parti, quindi la quantità  di avvisi dipende molto da quante persone concorrono allo sviluppo del CMS e dei suoi add-on e, naturalmente, dalla sua "anzianità  di servizio". (more...)

Continua a leggere CMS e sicurezza, uno sguardo su Secunia

Categoria: CMS

Qualche giorno fa un bell'articolo pubblicato su SecurityFocus, di cui forniremo abbiamo fornito una traduzione fra alcuni giorni sul nostro canale dedicato alla sicurezza informatica, ha riproposto il tema della sicurezza nella progettazione di applicazioni Web, in particolare di applicazioni scritte in AJAX. Dopo aver spiegato cosa è AJAX, gli autori passano subito al tema dell'articolo: "AJAX non introduce intrinsecamente nuove vulnerabilità  nel mondo delle applicazioni Web" e le applicazioni scritte con questa tecnologia "hanno di fronte le stesse problematiche delle applicazioni Web classiche". Ma "non sono state messe a punto buone pratiche comuni" che possono condurre a brutte sorprese. AJAX non è insicuro di per sé, ma il cambiamento di modello di programmazione potrebbe favorire delle pessime, dal punto di vista della sicurezza, abitudini. E allora ecco alcune "zone" su cui concentrare l'attenzione per quanto riguarda la sicurezza. (more...)

Continua a leggere AJAX: basi di sicurezza

Categoria: Sicurezza

Non sono un super-esperto di sicurezza, ma, per quel che ricordo, mai un problema di vulnerabilità  era stato collegato ai CSS.La storia è quella del bug di Internet Explorer che secondo l'isrealiano Matan Gillon potrebbe mettere seriamente a repentaglio la sicurezza di dati sensibili presenti sul PC di un utente che usi il browser di Microsoft in combinazione con Google Desktop 2. Ne parlano, tra gli altri, Yahoo! News, InfoWorld e Punto Informatico.Provando a caricare la pagina dell'exploit messa a punto da Gillon con diversi browser, si capisce subito che IE è l'unico ad essere vulnerabile a questo tipo di attacco che il programmatore israeliano ha definito CSSXSS (Cascading Style Sheets Cross Site Scripting).In sintesi, Internet Explorer è troppo permissivo quando si tratta di gestire l'importazione di file esterni con la direttiva @import o con la funzione Javascript addImport. Entrambe sono destinate, come molti sanno, all'inclusione di file CSS, ma il browser di Microsoft, in certe condizioni, non chiude le porte come dovrebbe di fronte a codice non CSS.Vi rimando all'advisory pubblicato da Gillon per ulteriori, interessanti dettagli tecnici.

Continua a leggere Anche i CSS sono un pericolo (su IE)

Categoria: Sicurezza