[risolto]Vulnerable Extensions List

[ErikaB]

Salve,
sto controllando l'elenco delle estensioni vulnerabili. Ma essendo tutti in inglese (ed io molto scarsa) non ho chiaro:
1) le estensioni che compaiono nella lista sono tutte estensioni ritenute vulnerabili?
2) le estensioni evidenziate in celeste, sono vulnerabili, o hanno solamente avuto problemi che sono poi stati risolti?
per quelle evidenziate in rosso, suppongo siano decisamente poco affidabili ..
ciao ciao

[mau_develop]

mmhh mi metti un link?

M.

[ErikaB]

certo che si  eccolo: http://docs.joomla.org/index.php?title=Vulnerable_Extensions_List_oct

[mau_develop]

beh, sul colore c'è scritto se è stata aggiornata o meno.

Comunque sia visto che non penso tu abbia installato mille cose ti conviene lasciar perdere quella lista e seguire comunque le release dello sviluppatore della tua addons, vulnerabile o meno una versione datata è sempre la premessa per problemi.

M.

[ErikaB]

però utilizzavo dei componenti nel vecchio sito, ed ho letto nelle varie guide che prima di installare nuovi moduli e/o componenti bisogna leggere e verificare che queste non siano presenti nella lista.
Iniziando a dare uno sguardo, ho visto che compare anche Qcontatc e prima di riusarlo volevo caqpire se fosse ritenuto vulnerabile..
in caso fosse così o comunque l'alternativa potrebbe essere quella di usare quello nativo di joomla a cui associare il Captcha?o il RECaptcha? sebbene non abbia letto ancora bene la differenza rispetto a quello indicato senza re 

[mau_develop]

http://extensions.joomla.org/extensions/contacts-and-feedback/contact-details/4811
Questa è la pagina di QContact delle extensions, da cui si deduce che:

è stato aggiunto alle extensions il 5 May 2008
l'ultima vers. disponibile è la 1.0.6 (last update on Jul 6, 2009)

..quindi le vulnerabilità segnalate dovrebbero riguardare qs versione o dopo, altrimenti questa è ancora valida e funzionante e non ci sono problemi, quindi si clicca su "documentation e si arriva al sito dello sviluppatore:
http://www.latenight-coding.com/it/joomla-addons/qcontacts/documentazione.html

solitamente se ci sono problemi ci sono anche avvisi, ma comunque sia c'è sempre google:

"QContact joomla vuln" ... e dalla ricerca ( non ho approfondito) vedo qs che è abbastanza recente:
http://www.exploit-db.com/exploits/14350/

che però dice qs: Version: 1.0.4 and previous

da quì dedurrei che se hai la 1.0.6 dovresti essere a posto.

Se ti rimangono dei dubbi manda una mail allo sviluppatore e glielo chiedi.

M.

[ErikaB]

accipikia http://www.exploit-db.com/exploits/14350/ cercando su goggle non avevo trovato questo link,so che è buona norma cercare sempre anche su un motore di ricerca, ma non avevo pensato di usare la parola chiave da te indicata, cercavo in italiano "nome componente+problemi" o sinonimi del termine problemi....la solita scarsa 
ancora grazie dei consigli

[gmassi]

Non è niente di nuovo è il solito report di cui si è parlato in questa discussione

http://forum.joomla.it/index.php/topic,113838.0.html

Quella SQL injection non esiste. Una volta che una estensione è inclusa nella lista delle estensioni vulnerabili lo sfondo rosso viene rimosso quando o il problema è stato risolto, o lo sviluppatore ha fornito la sua spiegazione del perché la vulnerabilità non sussiste, un link a questa spiegazione viene incluso nell'ultima colonna a destra. Nel caso di QContacts il link porta ad un post sul sito, in inglese perché bisogna almento dare a chi gestisce la lista la possibilità di leggerlo, ma che non dice niente di diverso da quanto detto da me a suo tempo qui: che il codice è stato esaminato e la vulnerabilità non è stata riscontrata.

La lista delle estensioni vulnerabili va saputa leggere perché c'è dentro tutto: problemi, veri, presunti, presenti, passati, mai esistiti e riportati per sbaglio

[ErikaB]

Non è niente di nuovo è il solito report di cui si è parlato in questa discussione

eh...però report e discussioni erano sfuggiti a me

La lista delle estensioni vulnerabili va saputa leggere perché c'è dentro tutto: problemi, veri, presunti, presenti, passati, mai esistiti e riportati per sbaglio

è proprio per quello che cercavo di imparare, ponendovi la domanda, d'altronde sarebbe stato inutile avere una checklist per l'indicazione della vulnerabilità delle estensioni e non sapere come leggerla !!

thanks ....
ciau ...