- Home
- Categorie
- Coding e Sistemistica
- CMS & Piattaforme Self-Hosted
- Allarme Sicurezza Joomla
-
Allarme Sicurezza Joomla
Oggi il mio hosting mi ha inviato una mail per segnalarmi importanti falle di sicurezza molto gravi che affliggono le installazioni di Joomla 1.0.X e 1.5x
ecco i link delle discussioni
http://forum.joomla.org/index.php/topic,248109.msg986328/boardseen.html#newhttp://www.securityfocus.com/archive/1/485676/30/0/threaded
Leggete e diffondete la notizia ma sopratutto back up
.
-
Lascio in evidenza per qualche giorno.
Grazie MrPis per la segnalazione.:)
-
@MrPis said:
Oggi il mio hosting mi ha inviato una mail per segnalarmi importanti falle di sicurezza molto gravi che affliggono le installazioni di Joomla 1.0.X e 1.5x
ecco i link delle discussioni
http://forum.joomla.org/index.php/topic,248109.msg986328/boardseen.html#newhttp://www.securityfocus.com/archive/1/485676/30/0/threaded
Leggete e diffondete la notizia ma sopratutto back up
.Ho raccolto e scritto qui quanto ho trovato nei link dati da MrPis per per arginare il problema:
Tengo a precisare che il problema non è solo di joomla ma anche del 90% dei CMS e web application.
Tale falla di sicurezza, (nel nostro caso specifico), prende in considerazione tutte le versioni di Joomla 1.0.x fino alla 1.5RC3 (nella RC4 il problema è stato risolto).Ad ogni modo in attesa di una patch per la 1.0.13 (c'è già in previsione una 1.0.14), è consigliabile agire come segue:
- Uscire SEMPRE dal back-end facendo click su Esci/Logout quando si finisce di lavorare.
- Non navigare con lo stesso browser mentre si è loggati come amministratori.
- Non cliccare su "Upgrade this component" per aggiornare componenti creati da terzi.
- Non navigare in forum mentre si è loggati come amministratori.
- Non leggere le eMail mentre si è loggati come amministratori.
- Non usare browser con RSS-Feed caricati mentre si è loggati come amministratori.E' bene ricordarsi che le precauzioni non sono mai troppe.
Siccome il problema non riguarda solo Joomla! ma anche parecchi siti di e-Commerce (inoltre non possiamo sapere a priori le falle di sicurezza pesano su un dato sito) conviene rispettare sempre queste regole.
Altra soluzione è utilizzare un browser speciale di nome PRISM (disponibile per Linux, Mac e Windows) basato su firefox 3.0, per amministrare il Vs. sito joomla, è scaricabile dal sito:
http://blog.phil-taylor.com/2008/01/05/using-prisim-to-administrate-joomla-safer/
Tale browser è completamente immune da attacchi del tipo CSRF.Ciao Denis
-
Un'altra utile dritta potrebbe essere quella di evitare di loggarsi come super admistrator.
Se non occorre fare modifiche rilevanti, ma solo inserire contenuti, meglio creare una account da manager e lavorare cosi. Almeno per ora.
-
Per dovere di cronaca sembra che non sia un problema solo di joomla ma acnhe di altri applicativi. La cosa positiva che diversi team stanno collaborando su questo tema.
-
I problemi dovrebbero essere stati risolti con la nuova release
-
La patch è valida solo per le versioni Joomla in inglese, per le versioni in italiano bisognerà attendere ancora un pochino.
**
PS.** Attenzione che la 1.0.14 è in versione RC1 quindi NON stabile.
-
io mi sono messo ad usare PRISM per amministrare i siti Joomla, posso dormire sonni tranquilli???
-
A garanzia del produttore e in base a quanto ho potuto leggere, sembra sia sicuro.
Un'utente ha provato ad auto-attaccarsi prima con FireFox poi usando Prism.
Il risultato è che l'attacco con Prism non è andato a buon fine.Ad ogni modo esistono anche correnti contrarie, le quali affermano che essendo un derivato di Firefox si *potrebbe *(attenzione: *potrebbe *- non è stato provato) trovare una strada per bucare Prism proprio dalla navigazione con Firefox.
Altri affermano che basta navigare con IE ed amministrare con firefox (qui non ci metterei la mano sul fuoco), essendo sue programmi diversi anche le sessioni create diventano incompatibili, quindi l'una non può accedere all'altra (sarà vero anche in un attacco CSRF?)
** Conclusioni: **anch'io uso Prism, consapevole però, che non esiste la sicurezza al 100% nel mondo web! (o meglio esiste fino a quando non si trova il modo di bucare la web application).
Ciao Denis
-
Sto usando prism e non è niente male senza parlare che ha protegge dal bug
-
sì però prism è veramente basilare...non ha controlli "indetro" per tornare alla pagina precedente ad es. e non ha il comando di ricerca (CTRL+F) che io uso un sacco in FireFox, soprattutto quando faccio modifiche al codice CSS o HTML dei templates di Joomla da interfaccia Admin...:():
se aggiungessero qualche funzionalità in più sarebbe perfetto...
-
@autodafe said:
sì però prism è veramente basilare...non ha controlli "indetro" per tornare alla pagina precedente ad es. e non ha il comando di ricerca (CTRL+F) che io uso un sacco in FireFox, soprattutto quando faccio modifiche al codice CSS o HTML dei templates di Joomla da interfaccia Admin...:():
se aggiungessero qualche funzionalità in più sarebbe perfetto...
Purtroppo la funzione di ricerca è in fase di sviluppo, ma le funzioni basilari indietro, avanti e home sono già presenti:
Quando crei una nuova webapp basta spuntare il campo Enable navigation keys, in questo modo con i tasti:- ALT+LEFT (indietro)
- ALT+RIGHT (avanti)
- ALT+HOME (home page impostata)Tieni presente che più funzioni sono presenti più il browser può essere a rischio attacchi.
Alcuni link utili:
Un po' di documentazione: http: // wiki.mozilla.org/WebRunner
Laboratorio Prism: http: // labs.mozilla.com/2007/10/prism/
Forum: https: // labs.mozilla.com/forum/index.php/board,16.0.htmlSpero di essere stato utile.
Ciao Denis
-
sì, grazie , molto utile, non avevo pensato che essendo FireFox travestito alt+left e right forse funzionavano...
se mi abilitano anche il CTRL+F è una manna....spesso metto mano al codice del template da back-end e sarebbe proprio comodo...
-
@autodafe said:
sì, grazie , molto utile, non avevo pensato che essendo FireFox travestito alt+left e right forse funzionavano...
se mi abilitano anche il CTRL+F è una manna....spesso metto mano al codice del template da back-end e sarebbe proprio comodo...
Per modifiche al codice io uso PSPAD che consente di leggere i file tramite FTP come se fossere in locale, veramente comodo e utile .... ma questo è un'altro argomento e concordo con te sull'utilità di CTRL+F.
-
Ma rilasceranno solo una nuova versione di Joomla o anche una patch per quelle vecchie?
-
Nel sito ufficiale di joomla.org è già presente l'upgrade per joomla versione inglese in RC1 (quindi no stabile), lo stesso upgrade è scaricabile anche per le versioni joomla in italiano dal sito joomla.it.
La versione stabile, uscita ieri: Joomla 1.5 è già corretta.Consiglio comunque di attendere il rilascio ufficiale della 1.0.14 stabile per l'utilizzo della patch in siti di produzione con joomla 1.0.x.