virtuemart sospeso dalla JED per vulnerabilità

[alexred]

perdonatemi se esiste già un post che riporta questa notizia, ma dando una veloce occhiata non l'ho trovato.

Sembra sia stato sospeso virtuemart dall'elenco delle extensions su Joomla.org

http://extensions.joomla.org/extensions/e-commerce/shopping-cart/129

Questa la motivazione:

This extension has been unpublished for the following reason: Vulnerable Extensions List - http://docs.joomla.org/Vulnerable_Extensions_List

ma non ho trovato riferimenti su eventuali vulnerabilità, forse non hanno voluto rendere noto il bug vista la grande diffusione dell'estensione?
La versione di riferimento sembra la 1.1.4 che è attualmente scaricabile dal sito dello sviluppatore.

[56francesco]

accidenti....

e io che mi stavo preoccupando della sua compatibilità con la nuova normativa sulla territorialità....
 

[alexred]

sembra una SQL Injection Vulnerability
http://www.exploit-db.com/exploits/11271

[Backyard]

Mi chiedo perchè non bloccano pure Joomla! che ha dei bug segnalati nel tracker e non risolti.

[kess]

Direi che hanno cercato il pelo nell'uovo !!

Ho fatto un po di prove e la casistica avviene solo in quella form.

La vulnerabilità non colpisce VirtueMart nelle gestione del quotidiano e soprattuto da frontend, infatti è possibile applicare la vulnerabilità segnalata  solo se si è in backend dopo essersi loggati.

Comunque hanno già risolto il problema con la versione 114b che è disponibile per il download dalla nightly build da stasera.

riporto qui il link al forum ufficiale dove c'è la risposta.

http://forum.virtuemart.net/index.php?topic=66258.0

[alexred]

Ottimo,
credo quindi che presto sarà ripristinato anche sulla JED

[Backyard]

Direi che hanno cercato il pelo nell'uovo !!

Se dedicassero così tanta costanza e tante risorse anche a verificare e testare prima il Core ... e poi ...dopo .... le estensioni (che stranamente risolvono i problemi molto più velocemente).

[56francesco]

ci sono novità?  aggiornamenti?

[mau_develop]

ci sono novità?  aggiornamenti?
-------------------------------

da virtuemart non so, ma da joomla non te ne aspettare, non hanno ancora capito cosa è successo e non lo capiranno mai il test delle vulnerabilità è meglio farselo da soli.

Scommetti che se gli scrivo una caxata con qualche nullbyte e carattere strano e gli dico che l'ho trovata su com_content vanno in cagotto?

M.

[56francesco]

Comunque hanno già risolto il problema con la versione 114b che è disponibile per il download dalla nightly build da stasera.

mi riferivo a questo e chiedevo se era disponibile la 114b nei normali canali, non amo andare per fratte ..

[mau_develop]

nemmeno io France'... ma ci sono dei limiti...

già la gente fa fatica a seguire gli aggiornamenti se poi a monte accettano di tutto come vulnerabilità allora ha ragione vamba, fai prima a ritirare Joomla perchè comincio ad aver il mucchietto di vuln da verificare...

solo se si è in backend dopo essersi loggati.
----------------------------------------------
... praticamente se sei admin riesci ad ownarti! fantastico!

intanto panico tra chi usa VM che se l'è visto ritirare da dwload... bah!

...polemico? ...sì, stavolta tantissimo mo' per curiosità voglio pure andarla a provare.

M.

[kess]

basta comunque seguire il post del forum internazionale che ho indicato sopra per scaricare la patch sia per la versione 1.1.4 che per la 1.0.15,  io invece amo andare per fratte !!

[56francesco]

ma li nel forum ci sono diversi utenti che hanno seminato una quantità impressionante di link e postato anche file zippati ..

quale sarà quella buona da installare?

non mi fa una gran bella impressione così sto forum internazionale, sai?
 

[kess]

Beh forse perchè non lo conosci.
Comunque i file sono solo due e sono pubblicati da bass28 che è uno del Team leader quindi sono praticamente fonte ufficiale.
Se noti molti post sono appunto del team.
Inoltre li ho controllati e risolvono appunto il problema.

[kess]

ecco il pacchetto ufficiale pubblicato sul sito internazionale
e su quello italiano