Importante! Security Release - CB 1.0.1

[rays84]

da joomlapolis

Fellow Community Builder Website Masters,

The CB Core team over at joomlapolis.com has been working hard during the past 48 hours on a security release 1.0.1 of the CB suite following the discovery of a vulnerability present in 1.0
RC2 and 1.0 stable on weakly configured web-servers.

We have decided to release it as a highly-recommended critical security and stability update, as we had one report this morning and another one this afternoon for 2 sites where it got exploited to change files.

Your site needs urgent update to CB 1.0.1 if ALL of these PHP settings are
met:
1) php register_globals set to ON
2) allow_url_fopen is ON
3) no open base directory limitations set
4) php code directories have write permissions from web-server process

CB 1.0.1 will be released in the next hours and will be available on http://www.joomlapolis.com and on the Community

Builder project area on forge.joomla.org.

Everyone is urged to upgrade asap, a README file is included in the release as usual.

Sites with the settings above are in danger.
 
If you want to stop receiving future messages of this type just visit your contact info tab on your joomlapolis profile and click on the "Don't email me critical vulnerability fixes"
checkbox.

Thank you,
The CB Team on Joomlapolis.com

post:
http://www.joomlapolis.com/content/view/1538/37/

Se qualcuno ha già fatto questo aggiornamento e vuole spiegarlo a tutti noi ci farebbe un grosso piacere.

[thuridilla]

Io l'ho fatto, ho letto il file readme.txt che poi alla fine contiene le stesse (o comunque molto simili) informazioni che avevo letto nell'aggiornamento che avevo fatto da RC2 alla 1.0 stable.
Alla fine il procedimento è identico all'altra volta.

Se invece la tua domanda riguarda i dettagli precisi sulla nuova release allora non ti so dire esattamente cosa sia cambiato...

Ciao
Sara

[rays84]

ciao, no siccome ho letto:

register_globals set to ON

ed io ho impostato a OFF, vorrei sapere se si deve settare momentaneamente ON oppure si deve lasciare OFF.
Per ora sto provando in locale,ho la versione 1.0 stable, per fare l'aggiornamento devo semplicemente sovrascrivere tutti i file? e i moduli li devo disistallare e re-istallare?

Grazie

[thuridilla]

No, non devi settare register_globals su ON,

nel messaggio che citi

Your site needs urgent update to CB 1.0.1 if ALL of these PHP settings are
met:
1) php register_globals set to ON
2) allow_url_fopen is ON
3) no open base directory limitations set
4) php code directories have write permissions from web-server process

c'è semplicemente scritto che è URGENTE fare l'aggiornamento se tutti i punti successivi sono veri, altrimenti l'aggiornamento è consigliato ma non è urgente.

Se qualcuno ha capito diversamente lo dica pure.

Per fare l'aggiornamento devi seguire passo passo il file readme.txt utilizzando l'opzione avanzata per esperti o l'altra.

Io ho disinstallato il componente, poi ho reinstallato quello nuovo; ti tiene tutto, l'unica cosa che devi reinstallare sono i plugins perchè li vede e tiene ma vanno reinstallati.

CiaoùSara

[rays84]

ok grazie mille!!

[marion]

Ciao,
l'ho fatto ieri, però ho un problema: non invia le email di conferma delle registrazioni.
Faccio presente che prima funzionava e che l'invio di altre email dal sito funziona regolarmente - uso PHP mail function.
Qualcuno può aiutarmi?
Grazie

[marion]

A completamento del post sopra, faccio presente:
invia la mail di conferma della registrazione solo se, registrandomi come nuovo utente, inserisco l'indirizzo email del sito; per ogni altro differente indirizzo la mail non arriva.
Non ci8 capisco più niente, spero vivamente in un aiuto.
Grazie

[Cognaman]

Chiedo scusa, ma non trovo nemmeno il file readme.txt

[cefano]

Ciao ragazzi....potrei chiedere come si fa a fare l'aggiornamento del community builder alla versione rilasciata ultimamente per motivi di sicurezza?

[cefano]

Ciao
Scusa ma ho letto qualcosa sulla sicurezza di community builder e ho scaricato i relativi file per l'aggiornamento alla versione 1.0.1
Sono che mi sono apparsi 4 file . zip

cblogin.zip
comprofiler.zip
mod_comprofilermoderator.zip
mod_comprofileronline.zip

Ho provato ad installare questi file nel modo classico ma mi dice caricamento fallito.

[giuagio]

Ciao
Scusa ma ho letto qualcosa sulla sicurezza di community builder e ho scaricato i relativi file per l'aggiornamento alla versione 1.0.1
Sono che mi sono apparsi 4 file . zip

cblogin.zip
comprofiler.zip
mod_comprofilermoderator.zip
mod_comprofileronline.zip

Ho provato ad installare questi file nel modo classico ma mi dice caricamento fallito.

  mmm.. non è che sono attualmente installati?? prima devi disinstallare e poi reinstallare, ma solo comprofiler.zip che è il componente, gli altri sono moduli, ma da quello che ho capito sono rimasti invariati.

[andrea]

Ecco cosa ho fatto fare ad un mio amico (www.worldmagicmedia.com) per effettuare l aggiornamento senza problemi (almeno apparentemente non cè stato alcun inceppo).

Ecco la guida postata sul mio sito

http://peppo1616.altervista.org/joomla/content/view/78/38/

spero vi sia utile ciao a tutti!

[LucaZone]

Ecco cosa ho fatto fare ad un mio amico (www.worldmagicmedia.com) per effettuare l aggiornamento senza problemi (almeno apparentemente non cè stato alcun inceppo).

Ecco la guida postata sul mio sito

http://peppo1616.altervista.org/joomla/content/view/78/38/

spero vi sia utile ciao a tutti!

Grazie della tua segnalazione/contributo, solo una precisazione

E consigliato eseguire anche il salvataggio dei file di tutti i plug-in contenuti nel cb, che si trovano in:
/components/com_comprofiler/plugin/

Perche quando si disinstalla tutto, anche per il semplice aggiornamento si perdono tutti i plug-in

Comunque esiste anche un altra procedura, che e consigliata per i piu esperti, che si trova nel file redame.txt, che lo trovate dento il pachetto zip, del community builder