Joomla.it Forum
Non solo Joomla... => Sicurezza => : ErikaB 30 Nov 2010, 18:31:23
-
Salve,
sto controllando l'elenco delle estensioni vulnerabili. Ma essendo tutti in inglese (ed io molto scarsa) non ho chiaro:
1) le estensioni che compaiono nella lista sono tutte estensioni ritenute vulnerabili?
2) le estensioni evidenziate in celeste, sono vulnerabili, o hanno solamente avuto problemi che sono poi stati risolti?
per quelle evidenziate in rosso, suppongo siano decisamente poco affidabili ..
ciao ciao
-
mmhh mi metti un link?
M.
-
certo che si :) eccolo: http://docs.joomla.org/index.php?title=Vulnerable_Extensions_List_oct (http://docs.joomla.org/index.php?title=Vulnerable_Extensions_List_oct)
-
beh, sul colore c'è scritto se è stata aggiornata o meno.
Comunque sia visto che non penso tu abbia installato mille cose ti conviene lasciar perdere quella lista e seguire comunque le release dello sviluppatore della tua addons, vulnerabile o meno una versione datata è sempre la premessa per problemi.
M.
-
però utilizzavo dei componenti nel vecchio sito, ed ho letto nelle varie guide che prima di installare nuovi moduli e/o componenti bisogna leggere e verificare che queste non siano presenti nella lista.
Iniziando a dare uno sguardo, ho visto che compare anche Qcontatc e prima di riusarlo volevo caqpire se fosse ritenuto vulnerabile..
in caso fosse così o comunque l'alternativa potrebbe essere quella di usare quello nativo di joomla a cui associare il Captcha?o il RECaptcha? sebbene non abbia letto ancora bene la differenza rispetto a quello indicato senza re :D
-
http://extensions.joomla.org/extensions/contacts-and-feedback/contact-details/4811
Questa è la pagina di QContact delle extensions, da cui si deduce che:
è stato aggiunto alle extensions il 5 May 2008
l'ultima vers. disponibile è la 1.0.6 (last update on Jul 6, 2009)
..quindi le vulnerabilità segnalate dovrebbero riguardare qs versione o dopo, altrimenti questa è ancora valida e funzionante e non ci sono problemi, quindi si clicca su "documentation e si arriva al sito dello sviluppatore:
http://www.latenight-coding.com/it/joomla-addons/qcontacts/documentazione.html
solitamente se ci sono problemi ci sono anche avvisi, ma comunque sia c'è sempre google:
"QContact joomla vuln" ... e dalla ricerca ( non ho approfondito) vedo qs che è abbastanza recente:
http://www.exploit-db.com/exploits/14350/
che però dice qs: Version: 1.0.4 and previous
da quì dedurrei che se hai la 1.0.6 dovresti essere a posto.
Se ti rimangono dei dubbi manda una mail allo sviluppatore e glielo chiedi.
M.
-
accipikia http://www.exploit-db.com/exploits/14350/ (http://www.exploit-db.com/exploits/14350/) cercando su goggle non avevo trovato questo link,so che è buona norma cercare sempre anche su un motore di ricerca, ma non avevo pensato di usare la parola chiave da te indicata, cercavo in italiano "nome componente+problemi" o sinonimi del termine problemi....la solita scarsa ;) :D
ancora grazie dei consigli
-
Non è niente di nuovo è il solito report di cui si è parlato in questa discussione
http://forum.joomla.it/index.php/topic,113838.0.html
Quella SQL injection non esiste. Una volta che una estensione è inclusa nella lista delle estensioni vulnerabili lo sfondo rosso viene rimosso quando o il problema è stato risolto, o lo sviluppatore ha fornito la sua spiegazione del perché la vulnerabilità non sussiste, un link a questa spiegazione viene incluso nell'ultima colonna a destra. Nel caso di QContacts il link porta ad un post sul sito, in inglese perché bisogna almento dare a chi gestisce la lista la possibilità di leggerlo, ma che non dice niente di diverso da quanto detto da me a suo tempo qui: che il codice è stato esaminato e la vulnerabilità non è stata riscontrata.
La lista delle estensioni vulnerabili va saputa leggere perché c'è dentro tutto: problemi, veri, presunti, presenti, passati, mai esistiti e riportati per sbaglio :)
-
Non è niente di nuovo è il solito report di cui si è parlato in questa discussione
eh...però report e discussioni erano sfuggiti a me ;)
La lista delle estensioni vulnerabili va saputa leggere perché c'è dentro tutto: problemi, veri, presunti, presenti, passati, mai esistiti e riportati per sbaglio
è proprio per quello che cercavo di imparare, ponendovi la domanda, d'altronde sarebbe stato inutile avere una checklist per l'indicazione della vulnerabilità delle estensioni e non sapere come leggerla :) !!
thanks ....
ciau ...