Gli ultimi post di Edit
Vulnerabilità XSS, Rocket Theme aggiorna i template Joomla
Martedì 9 Giugno 2009 - 09:32
di andrea.ferrini
In concomitanza della scoperta di una vulnerabilità XSS nel template ja_purity del pacchetto ufficiale di Joomla (e relativo rilascio della versione 1.5.11), Rocket Theme informa che tutti i template Joomla (1.0 e 1.5) rilasciati dal 2006 ad oggi soffrono di una vulnerabilità XSS da loro dichiarata “low risk”.
Per tutti i template rilasciati in questi 3 anni sono pertanto disponibili, per gli iscritti al loro club (presenti e passati), le versioni aggiornate che correggono tale vulnerabilità, sia per Joomla 1.0 che per Joomla 1.5.
Continua a leggere Vulnerabilità XSS, Rocket Theme aggiorna i template Joomla
Categoria: CMS | Permalink | Commenti (1)
Joomla 1.5.11, Security Release
Giovedì 4 Giugno 2009 - 09:34
di andrea.ferrini
A distanza di 11 settimane dal rilascio dell’ultima versione di Joomla, ecco una nuova release di sicurezza, la 1.5.11, che va a coprire un paio di vulnerabilità segnalate con “moderata priorità” e una serie di bug (26).
Le due vulnerabilità di tipo XSS (cross-site scripting) coperte con questa release riguardano il componente di gestione degli utenti lato amministratore e il template Ja Purity (attenzione quindi in fase di aggiornamento, potrebbe cambiare la resa grafica del sito se si utilizza questo template in una qualche versione personalizzata).
Continua a leggere Joomla 1.5.11, Security Release
Categoria: CMS | Permalink | Commenti (1)
Rilasciato Movable Type 4.23
Venerdì 12 Dicembre 2008 - 09:16
di Gino Giorgetti
È stata rilasciata da qualche giorno la nuova versione di uno tra i blog engine più noti e apprezzati: Movable Type 4.23.
Già in passato avevamo avuto modo di parlare di questo blog e di confrontarlo con il suo più diretto antagonista, WordPress, mettendone in luce pregi e difetti.
Continua a leggere Rilasciato Movable Type 4.23
Categoria: CMS | Permalink | Commenta
Rilasciato Joomla 1.5.8
Martedì 11 Novembre 2008 - 14:32
di Claudio Garau
Gli sviluppatori del Joomla Project hanno rilasciato un nuovo aggiornamento per Joomla che arriva così alla versione 1.5.8 nome in codice Wohnaiki. La nuova release si è resa necessaria per la correzione di alcuni bug e per la risoluzione di due vulnerabilità classificate a livello moderatamente critico.
Il precedente rilascio della versione 1.5.7 risale a circa 2 mesi fa (9 Settembre del 2008) non è escluso però che a breve vengano messe a disposizione nuove release.
Continua a leggere Rilasciato Joomla 1.5.8
Categoria: CMS | Permalink | Commenti (3)
Tutti i rischi per il vostro CMS
Venerdì 4 Gennaio 2008 - 08:04
di Claudio Garau
Michaeldaw.org, blog dedicato alla sicurezza, riporta un’interessante riassunto grafico (riprodotta solo parzialmente in questo post) riguardante tutte le minacce che possono gravare su un sito Web (ma anche su un server) quando qualche malintenzionato si interessa al codice delle nostre pagine e viene preso dall’insano desiderio di buttarle giù.
Continua a leggere Tutti i rischi per il vostro CMS
Categoria: CMS | Permalink | Commenta
Cronaca di una falla: questione di cortesia
Venerdì 9 Dicembre 2005 - 15:40
di
Tutto è iniziato con una segnalazione: Daniele Fogazzi (lo conoscemmo già per il caso Rasbank) ci comunica di una falla scoperta sul sito della Banca di Roma. Una apposita pagina viene pubblicata online per spiegare i dettagli, ma l’indirizzo non viene reso noto: la falla è stata segnalata dal Fogazzi alla banca e si attendono notizie. Il sottoscritto, pur non avendo la possibilità di verificare direttamente il tutto, segnala alla banca la scoperta con tanto di dettagli, per rimanere poi in attesa di notizie.
Esito: nessuna informazione da parte della banca, ma la falla risulta essere stata risolta. Lo comunica Daniele in giornata. Noi abbiamo fatto nulla, ma se tutto è andato per come lo si può raccontare, allora un grazie a qualcuno da parte della Banca di Roma sarebbe quantomeno opportuno. Questione di cortesia.
Categoria: Sicurezza | Permalink | Commenti (1)
Anche i CSS sono un pericolo (su IE)
Lunedì 5 Dicembre 2005 - 11:16
di Cesare Lamanna
Non sono un super-esperto di sicurezza, ma, per quel che ricordo, mai un problema di vulnerabilità era stato collegato ai CSS.
La storia è quella del bug di Internet Explorer che secondo l’isrealiano Matan Gillon potrebbe mettere seriamente a repentaglio la sicurezza di dati sensibili presenti sul PC di un utente che usi il browser di Microsoft in combinazione con Google Desktop 2. Ne parlano, tra gli altri, Yahoo! News, InfoWorld e Punto Informatico.
Provando a caricare la pagina dell’exploit messa a punto da Gillon con diversi browser, si capisce subito che IE è l’unico ad essere vulnerabile a questo tipo di attacco che il programmatore israeliano ha definito CSSXSS (Cascading Style Sheets Cross Site Scripting).
In sintesi, Internet Explorer è troppo permissivo quando si tratta di gestire l’importazione di file esterni con la direttiva @import o con la funzione Javascript addImport. Entrambe sono destinate, come molti sanno, all’inclusione di file CSS, ma il browser di Microsoft, in certe condizioni, non chiude le porte come dovrebbe di fronte a codice non CSS.
Vi rimando all’advisory pubblicato da Gillon per ulteriori, interessanti dettagli tecnici.
Categoria: Sicurezza | Permalink | Commenti (1)
-