Con mia grande sorpresa ieri mi è giunta questa mail da quelli di aruba, in cui mi avvisavano che la versione di joomla che stavo usando (che tra l'altro avevo aggiornato un paio d'ore prima... son stato piu veloce io :-) ) presentava delle vulnerabilità, con tanto di link alla guida per il recupero password admin e all'aggionamento...
Gentile cliente,
i nostri sistemi automatici hanno rilevato che all'interno dello spazio web del suo dominio è presente una versione del noto Cms Joomla con una grave vulnerabilità di Sicurezza.
Tale falla di sicurezza scoperta di recente consente, infatti, di resettare la password dell'account Amministratore del sito,permettendo il defacement del sito stesso ( cioè la sostituzione della pagina principale o la cancellazione di tutti i contenuti ).
La invitiamo pertanto a prendere visione dell'articolo reperibile al seguente indirizzo sul sito ufficiale del cms, al fine di visionare i metodi di soluzione possibili ( applicazione patch o aggiornamento alla ultima versione stabile).
Descrizione della Vulnerabilità e relativa FIX:
http://developer.joomla.org/security/news/241-20080801-core-password-remind-functionality.html
http://www.joomlaitalia.com/content/view/323/90/
Ricordiamo che per recuperare la password di admin in seguito ad un intrusione o semplicemente perchè si è dimenticata, è sufficiente seguire le istruzioni contenute a questo indirizzo:
http://wiki.joomla.it/index.php?title=Recupero_password_admin
La preghiamo di provvedere al più presto all'aggiornamento dell'applicazione Joomla alla recente versione 1.5.7 che corregge, oltre a questa, anche altre vulnerabilità.
In caso contrario il suo sito sarà esposto al rischio di defacement.
Precisiamo inoltre che, nel caso in cui utilizzi anche dei sistemi CMS diversi da Joomla, è opportuno tenerli costantemente sotto controllo ed effettuare eventuali aggiornamenti disponibili per tali applicazioni.
Certi di averle fatto cosa gradita, restiamo a sua disposizione per ulteriori chiarimenti.
Può contattare la nostra assistenza tramite l'apertura di un ticket sul sito http://assistenza.aruba.it
