Attacchi a raffica a CKForms 1.3.3; AGGIORNARE a 1.3.4

[mmleoni]

stavo verificando un po' dei logs dei vari server che gestisco e mi è saltato all'occhio un incremento esponenziale degli attacchi a questo componente.

la versione citata, oltre a problemi di SQL injection, soffriva anche di una vulnerabilità agli attacchi di tipo LFI (local file inclusion), dovuta ad una non accorta scrittura dell'entry point del front end:

Codice: [Seleziona]

if($controller = JRequest::getVar('controller')) {
require_once (JPATH_COMPONENT.DS.'controllers'.DS.$controller.'.php');
}

corretta poi in:

Codice: [Seleziona]

if($controller = JRequest::getCmd('controller')) {
require_once (JPATH_COMPONENT.DS.'controllers'.DS.$controller.'.php');
}

nella 1.3.4.

mentre il risultato di un attacco di tipo SQL injection è tipicamente il defacement del sito, il risultato di un LFI può arrivare facilmente all'impossessarsi dell'intero server.

è per altro vero che sia necessario che il server non sia configurato a regola d'arte, ma è ormai certo che ci siano in giro un sacco di dilettanti che si spacciano per sysadmins.


comunque: aggiornare immediatamente a 1.3.4.

ciao,
marco

[= odino =]

già, purtroppo è una falla ben nota in molti componenti per joomla 1.5.

E' veramente assurdo che il framework esponga a errori del genere... che a prima vista uno non si preoccupa nemmeno di controllare, per il semplice fatto che mai andresti a pensare ad una vulnerabilità nell'entry point di un controller :|

[jeckodevelopment]

speriamo che Joomla 1.6 sia più sicuro da questo punto di vista!