Back to top

rss feed
« precedente successivo »
Pagine: [1]   Vai giù

Autore Topic: [moved part] Vulnerabilità Joomla 1.5.24 e 1.7.2  (Letto 1471 volte)

mau_develop

  • Visitatore
[moved part] Vulnerabilità Joomla 1.5.24 e 1.7.2
« il: 14 Nov 2011, 16:40:30 »
... scrivevo di la'

---------------------------------------------
...stica...

Weak random number generation during password reset leads to possibility of changing a user's password.

...era da un po' che non c'erano vuln così serie...
quello del reset della password sembra essere un problema annoso per joomla.
Una cosa simile era successa alla 1.5.6 anche se riuscirci non era poi così semplice, dovevi fare un milioncino di request per riuscirci...

M.
--------------------------------------------------------------

Jeckodevelopment reply:
----------------------------------------------------------------------------------
il problema è che la vuln stava in entrambe le versioni di Joomla...
------------------------------------------------------------------------------------

... eravamo ot di là :) ...
Connesso

mau_develop

  • Visitatore
Re:[moved part] Vulnerabilità Joomla 1.5.24 e 1.7.2
« Risposta #1 il: 14 Nov 2011, 16:49:57 »
ho fatto sto accrocchio perchè volevo proseguire un attimo...

Questa specifica vulnerabilità non l'ho guardata ... ho una cervicale terribile e nn riesco a stare al pc... ma mi sembra essere abbastanza simile a quella della 1.5.6 che ricordo perchè era di Esser, che seguo abbastanza.

Se il problem era lo stesso o giù di lì, è vero che è assai critico, ma è anche vero che si presuppone un attacco simile al brute force, quindi con un impiego di risorse notevole.
Quello che mi fa pensare che comunque non sia così alla portata di tutti è che la patch ha avuto una latenza di quasi 20 gg ma non mi sembra ci sia stata una strage di siti quando per molto meno c'è stata...

... nn mi sembra abbiano rilasciato disclosures aldilà del dire che era una debolezza nel generare il random

cmq qs è quella della prec. http://www.suspekt.org/2008/08/17/mt_srand-and-not-so-random-numbers/

M.
Connesso

Offline jeckodevelopment

  • Administrator
  • Instancabile
  • *****
  • Post: 5695
  • Sesso: Maschio
    • Mostra profilo
Re:[moved part] Vulnerabilità Joomla 1.5.24 e 1.7.2
« Risposta #2 il: 14 Nov 2011, 22:05:28 »
grazie mau per il chiarimento :)
il mio appunto era riferito al fatto che la vulnerabilità, per quanto possa essere difficilmente attuabile, colpisce entrambi i rami dello sviluppo di Joomla.
Ma ciò dipende dal "riutilizzo" del software o di parte di esso, che giustamente viene attuata dagli sviluppatori per risparmiare tempo e lavoro.

Connesso
Pagine: [1]   Vai su
« precedente successivo »
 



Web Design Bolzano Kreatif


Copyleft: Tutto il materiale pubblicato o comunque presente all'interno del sito www.joomla.it
può essere utilizzato, diffuso e modificato liberamente.
Hosting fornito gratuitamente da Joomlahost.it
Disegno web da kreatif multimedia srl