403 Accesso negato dopo upgrade a Joomla 2.5.18

[guidocx84]

Ciao a tutti,
sto cercando in rete ma ho trovato pochissimo. Probabilmente se ne sono accorti ancora in pochi.
Dopo l'aggiornamento a Joomla 2.5.18, non è più possibile registrarsi e fare login da frontend su alcuni web server (tra cui quello sul quale è ospitato il mio sito internet). (Es. http://forum.joomla.org/viewtopic.php?f=622&t=835354).
Come scritto nelle note di rilascio della nuova versione (http://www.joomla.org/announcements/release-news/5530-joomla-2-5-18-released.html) è stata implementata la funzionalità di hashing tramite PHPass anche in Joomla 2.5 oltre che sul 3.2.1.
La funzione, per eseguire l'hashing, tenta di accedere a /dev/urandom e, in alcuni sistemi, come il mio, questo tentativo gli può essere negato.


Il risultato è che sul webserver ci si trovano errori del genere:

mod_fcgid: stderr: PHP Warning:  is_readable(): open_basedir restriction in effect. File(/dev/urandom) is not within the allowed path(s) in var/www/clients/client1/web30/web/libraries/phpass/PasswordHash.php on line 51

La soluzione sarebbe configurare il nostro webserver aggiungendo nella configurazione di PHP open_basedir anche /dev/urandom... ma siamo proprio sicuri che sia la strada migliore?


Io ho trovato questo: http://stackoverflow.com/questions/10363465/can-i-access-dev-urandom-with-open-basedir-in-effect


Cosa ne pensate? Qual'è il modo migliore e più sicuro per risolvere senza lasciarsi dietro falle di sicurezza sui nostri sistemi?


Grazie!




p.s. Piccolo aggiornamento... per provare ho inserito /dev/urandom all'interno della configurazione open_basedir e adesso, non vedo più il warning che ho incollato sopra nel mio error.log bensì soltanto il codice 403 sull'access log. Quindi, anche inserendo /dev/urandom nell'open basedir non ho risolto il problema.

[BelinBelan]

Ciao guidocx84,


non so se come dici tu "se ne sono accorti in pochi", ma credo invece che possa accadere ad alcuni, a seconda del tipo di hosting di cui stanno usufruendo.


Io ad esempio uso sia J3.2.2 che 2.5.18 (aggiornate da versioni precedenti) e non riscontro sui vari domini questo tipo di inconveniente. Ti allego anche la mia impostazione ricavabile dalle Informazioni di Sistema dove vedi che NON è settato open_basedir


Premetto che sulle ultime del ramo 2 e del ramo 3 di joomla uso php 5.4.x





[allegato eliminato automaticamente dopo un anno]

[guidocx84]

Ciao BelinBelan,
e grazie per la tua risposta!
Effettivamente, l'aver impostato l'open basedir, non mi ha risolto il problema.
Quale pensi possa essere la strategia migliore per risolvere questo problema?
Possibile che non abbiano inserito una condizione tale da utilizzare il vecchio metodo di hasing (o altro) quando quello nuovo non è praticabile a causa della configurazione del server.
Che poi mi chiedo: è vero che prima di aggiornare il sito tutti sappiamo è necessario fare un backup. Ma fatto il backup, per testare tutte le funzionalità, come si fa? La domanda è retorica e mi serve solo per arrivare a dire che probabilmente, molti di quelli che hanno fatto questo aggiornamento, magari ancora non si sono neanche resi conto del problema o perché non hanno mai provato a fare login o a registrarsi oppure perché nessuno gli ha segnalato il problema.
Nel mio caso, ho un sito nuovo da tirare su, ed ero partito dal Joomla 2.5.18. Utilizzo Virtuemart e, in questo momento, non riesco neanche a far registrare gli acquirenti per questo problema...
Non so se si può fare... ma intanto secondo te potrei fare un downgrade a Joomla 2.5.17? (mai fatto...)
Grazie! 

[BelinBelan]

Secondo me guardi al dito e non alla luna    non credo sia un problema di Joomla! in se e per se, se no saremmo tempestati di domande simili alla tua con cadenza una al minuto... 


Credo invece che sia qualcosa legato specificatamente all'hosting. Io chiederei al tuo servizio, a chi gestisce per te il php.ini e le configurazioni del server Apache sul quale gira il tuo sito.


Potrebbe essere un problema sulle cUrl o chissà cos'altro! 

[guidocx84]

Verificherò nei prossimi giorni... nel frattempo però direi che sono d'accordo con colui che ha scritto questo:

http://www.marshut.com/ikywsi/phpass-warnings-warning-is-readable-open-basedir-restriction-in-effect.html

[guidocx84]

Ciao a tutti,
purtroppo ancora non ho risolto.
Inserendo /dev/urandom in open basedir era cambiato soltanto che non vedevo più il warning php dentro il log del web server. Ma l'errore 403 rimaneva. Così, avendo l'accesso al web server, ho provato a lanciare il comando suggerito su stackoverflow: mknod urandom c 1 9 all'interno della web root.
Poi, sono andato nel file php incriminato, ovvero libraries/phpass/PasswordHash.php e ho modificato il path /dev/urandom con il path per arrivare all'urandom presente nella web root del sito (al quale ovviamente in precedenza avevo assegnato il giusto proprietario (sul web server ho il su exec attivo e ogni web root ha proprietario diverso).
Nonostante questo tentativo però, continuo ad avere una pagina 403 accesso negato non appena premo sul pulsante "Registrati" di Virtuemart 2.0.26d.
Sicuramente sarà un problema a livello di web server ma, non avendo altri warning o evidenze dentro i log, diventa davvero difficile capire quale sia il problema. Volevo sapere se nel frattempo era capitato a qualcun altro e se eventualmente eravate riusciti a replicare il problema ed eventualmente a risolverlo.
Grazie mille!!