Joomla.it Forum
Joomla! 1.0.x (versione con supporto terminato) => Le voci di Joomla.it (solo per versione Joomla 1.0.x) => : ..-. ..- 02 Jan 2008, 17:10:15
-
Sono un paio di giorni a questa parte che i cervelloni del "Dev Team" sono abbastanza preoccupati di questo articolo apparso su securityfocus.com il 27.12.2007
http://www.securityfocus.com/archive/1/485676/30/0/threaded
Nonostante i festeggiamenti di fine anno ci abbiano fatto pensare ad altro .... nel forum ufficiale http://forum.joomla.org da giorni è iniziata a serpeggiare la paura.
Questo articolo non ci porta niente di buono... evito di tradurlo un po' per ignoranza della lingua un po' perchè la cosa fa veramente venire il nervoso.
Pare che sia la versione 1.0.13 che l'ultima 1.5 RC4 soffrano dei problemi rilevati.....
Pare che il Team, informato dallo stesso scopritore della falla abbia rilasciato nell'SVN una patch di sicurezza per Joomla 1.5 RC4 ........ Ma.................. non ancora per la versione 1.0.13.?!?!?!?!??!?!?
Quindi, secondo il mio modesto punto di vista, è consigliabile correre ai ripari e fare i salvataggi dei siti importanti.
(che sia il caso magari di pensare forse ad un nuovo CMS meno noto ma più sicuro?)
Nota aggiuntiva:
Riporto l'indirizzo al 3rd del forum.joomla.org in quanto il problema è veramente serio per la serie 1.0.x
http://forum.joomla.org/index.php/topic,248109.msg986328/boardseen.html#new
Nota: Modificato titolo del topic
-
Grazie per la segnalazione, vamba...
Sforneranno sicuramente una patch anche per la 1.0.13... si spera in tempi brevi pero'... Anche una nuova release 1.0.14 non sarebbe male, se non c'e' da attendere troppo... che OO pero'...
-
Grazie Vamba
-
Grazie Vamba
Nessun ringraziamento è solo per dovere di informazione agli utenti, dopo che per puro caso sono stato pure io informato, (in maniera stranissima ovvero una segnalazione di una cancellazione di un post che parlava proprio di queste cose)
Qui la cosa è realmente seria, e alexred ha anche riportato nel forum joomla.org una parte tradotta di un post di Phil Taylor.
cito testualmente dalla traduzione gentilmente effettuata da alex:
Phil Taylor ha riportato in allegato una prova di patch per la versione 1.0.13 dopo aver dimostrato a Andrew Eddie che è stato in grado di crearsi un account superamministratore sul nuovo sito di Andrew (Uno a caso del team aggiungo io ;D ) il quale sembra allora ammettere che lavoreranno ad una soluzione anche per la 1.0.13
Anch'io, come alex poi dice a termine del suo intervento, spero che si adoprino urgentemente per rilasciare una patch, magari lavorando anche sulle tracce che ha indicato Phil (il quale ha pure allegato nel post due file con le indicazione su dove andare ad agire).
-
Aggiornamento:
Da circa un'ora è iniziato il lavoro di Bonifica
02-Jan-2008 Anthony Ferrara
# Fixed delete issue with com_media in backend spoof check
^ added request param to josSpoofCheck to check $_REQUEST instead of $_POST
questo lo stralcio dal Changelog di 57 minuti fa.
I file interessati al momento sono circa un'ottantina:
Updated: administrator\index2.php
Updated: administrator\components\com_trash\admin.trash.html.php
Updated: administrator\components\com_trash\admin.trash.php
Updated: administrator\components\com_newsfeeds\admin.newsfeeds.php
Updated: administrator\components\com_newsfeeds\admin.newsfeeds.html.php
Updated: administrator\components\com_syndicate\admin.syndicate.php
Updated: administrator\components\com_syndicate\admin.syndicate.html.php
Updated: administrator\components\com_frontpage\admin.frontpage.php
Updated: administrator\components\com_frontpage\admin.frontpage.html.php
Updated: administrator\components\com_categories\admin.categories.php
Updated: administrator\components\com_categories\admin.categories.html.php
Updated: administrator\components\com_menus\content_typed\content_typed.menu.html.php
Updated: administrator\components\com_menus\wrapper\wrapper.menu.html.php
Updated: administrator\components\com_menus\components\components.menu.html.php
Updated: administrator\components\com_menus\contact_item_link\contact_item_link.menu.html.php
Updated: administrator\components\com_menus\component_item_link\component_item_link.menu.html.php
Updated: administrator\components\com_menus\submit_content\submit_content.menu.html.php
Updated: administrator\components\com_menus\content_section\content_section.menu.html.php
Updated: administrator\components\com_menus\content_archive_section\content_archive_section.menu.html.php
Updated: administrator\components\com_menus\contact_category_table\contact_category_table.menu.html.php
Updated: administrator\components\com_menus\weblink_category_table\weblink_category_table.menu.html.php
Updated: administrator\components\com_menus\separator\separator.menu.html.php
Updated: administrator\components\com_menus\content_blog_section\content_blog_section.menu.html.php
Updated: administrator\components\com_menus\url\url.menu.html.php
Updated: administrator\components\com_menus\newsfeed_category_table\newsfeed_category_table.menu.html.php
Updated: administrator\components\com_menus\admin.menus.php
Updated: administrator\components\com_menus\content_item_link\content_item_link.menu.html.php
Updated: administrator\components\com_menus\content_category\content_category.menu.html.php
Updated: administrator\components\com_menus\admin.menus.html.php
Updated: administrator\components\com_menus\content_archive_category\content_archive_category.menu.html.php
Updated: administrator\components\com_menus\content_blog_category\content_blog_category.menu.html.php
Updated: administrator\components\com_menus\newsfeed_link\newsfeed_link.menu.html.php
Updated: administrator\components\com_sections\admin.sections.php
Updated: administrator\components\com_sections\admin.sections.html.php
Updated: administrator\components\com_banners\admin.banners.php
Updated: administrator\components\com_banners\admin.banners.html.php
Updated: administrator\components\com_admin\admin.admin.html.php
Updated: administrator\components\com_statistics\admin.statistics.html.php
Updated: administrator\components\com_contact\admin.contact.php
Updated: administrator\components\com_contact\admin.contact.html.php
Updated: administrator\components\com_installer\mambot\mambot.html.php
Updated: administrator\components\com_installer\mambot\mambot.class.php
Updated: administrator\components\com_installer\component\component.html.php
Updated: administrator\components\com_installer\component\component.class.php
Updated: administrator\components\com_installer\language\language.class.php
Updated: administrator\components\com_installer\module\module.class.php
Updated: administrator\components\com_installer\module\module.html.php
Updated: administrator\components\com_installer\admin.installer.php
Updated: administrator\components\com_installer\template\template.class.php
Updated: administrator\components\com_installer\admin.installer.html.php
Updated: administrator\components\com_templates\admin.templates.php
Updated: administrator\components\com_templates\admin.templates.html.php
Updated: administrator\components\com_menumanager\admin.menumanager.html.php
Updated: administrator\components\com_menumanager\admin.menumanager.php
Updated: administrator\components\com_users\admin.users.html.php
Updated: administrator\components\com_users\admin.users.php
Updated: administrator\components\com_mambots\admin.mambots.php
Updated: administrator\components\com_mambots\admin.mambots.html.php
Updated: administrator\components\com_config\admin.config.php
Updated: administrator\components\com_config\admin.config.html.php
Updated: administrator\components\com_massmail\admin.massmail.php
Updated: administrator\components\com_massmail\admin.massmail.html.php
Updated: administrator\components\com_languages\admin.languages.php
Updated: administrator\components\com_languages\admin.languages.html.php
Updated: administrator\components\com_poll\admin.poll.php
Updated: administrator\components\com_poll\admin.poll.html.php
Updated: administrator\components\com_messages\admin.messages.php
Updated: administrator\components\com_messages\admin.messages.html.php
Updated: administrator\components\com_modules\admin.modules.php
Updated: administrator\components\com_modules\admin.modules.html.php
Updated: administrator\components\com_content\admin.content.php
Updated: administrator\components\com_content\admin.content.html.php
Updated: administrator\components\com_weblinks\admin.weblinks.php
Updated: administrator\components\com_weblinks\admin.weblinks.html.php
Updated: administrator\components\com_media\admin.media.html.php
Updated: administrator\components\com_media\admin.media.php
Updated: administrator\components\com_typedcontent\admin.typedcontent.html.php
Updated: administrator\components\com_typedcontent\admin.typedcontent.php
Updated: administrator\popups\pollwindow.php
Updated: administrator\popups\uploadimage.php
Updated: administrator\templates\joomla_admin\cpanel.php
Updated: includes\joomla.php
per cui vediamo di inziare un giro di test poi li allineremo alla versione italiana.
(Fortuna che siam sempre in festa..) ;)
-
Pacchetto completo localizzato in italiano (ed eventuale aggiornamento) sono pronti e in stand by in attesa del via libera.
In pratica cosa è stato modificato.
E' stata rafforzAta la funzione josSpoofCheck per controllare ed eventualmente bloccare gli $_REQUEST e $_POST non proprio carini.
function josSpoofCheck( $header=NULL, $alt=NULL , $request = false) {
if($request) {
$validate = mosGetParam( $_REQUEST, josSpoofValue($alt), 0 );
} else {
$validate = mosGetParam( $_REQUEST, josSpoofValue($alt), 0 );
}
In tutti i file admin.html.php soggetti a tale problema tra le componenti amministratotive è stato aggiunto
<input type="hidden" name="<?php echo josSpoofValue(); ?>" value="1" />al termine di ogni form
mentre nei file admin.php (soggetti all'aggiornamento) ogni funzione ha ora il tag di controllo
josSpoofCheck();
Prevedo che forse anche tutte le componenti in circolazione, anzi direi sicuramente, sono soggette a tale problema e gli sviluppatori, nel più breve tempo possibile, dovranno adeguarle alle nuove specifiche.
-
Attendiamo con ansia il download della patch / fix ;) :D
-
Al momento il consiglio più sensato che ho letto in attesa della patch ufficiale è questo
The number one bit of advice I can give all site admins at the moment is to - LOGOUT OF YOUR JOOMLA ADMIN as soon as you finish using it, and do not surf around the internet while administrating your Joomla site, and if you allow users to modify your site's frontend, be careful not to surf your frontend as well while logged in.
Do not install any 3rd party components/mambots/modules/AND TEMPLATES!!! from untrusted sources
Do not click on any links in 3rd party component (like "click here for updates/upgrades") as this is one quick way for a developer/hacker to embed a link into your admin and create a desire to click it.
Chi ha le facolltà, e soprattutto la bontà, di tradurlo per gli altri farà un lavoro benvenuto e ben gradito.
-
Il primo piccolo consiglio che al momento posso dare a tutti gli amministratori di siti è di EFFETTUARE IL LOGOUT DALL'AMMINISTRAZIONE DI JOOMLA non appena terminato di utilizzarlo, e di non navigare qua e là su internet mentre si sta amministrando il proprio sito Joomla, e, se si permette agli utenti di modificare il frontend del proprio sito, fare attenzione a non navigare nel proprio frontend mentre si è loggati.
Non installare nessun componente/mambot/modulo/template di terze parti da fonti non sicure
Non cliccare su nessun link in componenti di terze parti (come ad esempio "clicca qui per aggiornamenti/upgrade"), in quanto questo è un modo veloce per uno sviluppatore/hacker di inserire un link nella tua amministrazione per indurre gli utenti a cliccarci.
-
Grazie anche della traduzione.
-
Dangerous!
-
grazie ragazzi, come sempre fate un lavoro magnifico :-*
-
Ehi,
ci sono novità sulla questione? ???
cià
-
Al momento, se intendi voci su un'imminente uscita di una patch, non ci sono novità.
L'ultimo commit nell'SVN relativo al progetto Joomla serie 1.0.x è di due giorni fa e, in questi momenti la comunità sta svolgendo, come molti di noi del resto, i test necessari per evitare "rigetti" dovuti a questa "trasfusione" che servirà a bloccare, si spera, questa falla scoperta nei primi giorni di dicembre dello scorso anno.
-
Grazie! esaustivo! è troppo importante questo topic!
ciao
-
Grazie! esaustivo! è troppo importante questo topic!
ciao
Grazie anche da parte mia vamba!!!!!! ;)
Sono lontano dal forum ed ho ricevuto questa notizia dal mio host..così son venuto qui a leggere. :o
Ora mi terrò incollato.
Grazie ancora.
Ciao :)
-
Il primo piccolo consiglio che al momento posso dare a tutti gli amministratori di siti è di EFFETTUARE IL LOGOUT DALL'AMMINISTRAZIONE DI JOOMLA non appena terminato di utilizzarlo, e di non navigare qua e là su internet mentre si sta amministrando il proprio sito Joomla, e, se si permette agli utenti di modificare il frontend del proprio sito, fare attenzione a non navigare nel proprio frontend mentre si è loggati.
Non installare nessun componente/mambot/modulo/template di terze parti da fonti non sicure
Non cliccare su nessun link in componenti di terze parti (come ad esempio "clicca qui per aggiornamenti/upgrade"), in quanto questo è un modo veloce per uno sviluppatore/hacker di inserire un link nella tua amministrazione per indurre gli utenti a cliccarci.
grazie
Enrico
-
Un aggiornamento veloce sul problema.
Phil Taylor, nel suo blog, consiglia l'utilizzo di un programma stand alone per poter amministrare con una certa sicurezza in questi giorni, in attesa di un risvolto favorevole nella ricerca di una patch definitiva.
http://blog.phil-taylor.com/2008/01/05/using-prisim-to-administrate-joomla-safer/
Voglio inoltre rispondere a coloro che chiedono se il problema si manifesta solo quando siamo connessi come superamministratori nel back-end del sito.
NO il problema esiste anche se siamo connessi lato front-end quindi seguite il consiglio riportato qualche post precednete in questo topic, quando amministrate il sito evitate di navigare in altri siti e soprattuto evitate di cliccare su link che non siano strettamente quelli amministrativi. Appena terminate le procedure di amministrazione scollegatevi da amministratori, non lasciate la sessione aperta per nessuna ragione.
Masterchief ha rilasciato una dichiarazione nella quale si scusa per la poca rilevanza data immediatamente nella ricerca di una cura per la serie 1.0.x, (infatti molti utenti hanno fatto presente il fatto che con circa decine di migliaia di installazioni della serie 1.5 e circa 6 milioni di installazioni serie 1.0.x si sia privilegiato il fix della serie 1.5 prima della serie 1.0.x (che oltretutto ha un parco utenti più vasto per scoprire eventuali anomalie sulle nuove patch applicate).
Masterchief inoltre afferma che il problema non riguarda solo Joomla! ma anche altri applicativi e quindi, tutti questi Team insieme stanno cercando un deterrente a questa ... che chiameremo "Calamità".
-
Grazie, un motivo in più per fare i beckup :)
Scusate ma non ho capito una cosa, per quanto riguarda la 1.5 RC4 è già stato corretto o no?
-
Sicuramente troveranno qualcosa per poter evitare il peggio e comunque grazie dei consigli ragazzi cercherò di seguirli.
Nota: modificato titolo del topic
-
Quando piove sul bagnato ....
http://www.derkeiler.com/Mailing-Lists/securityfocus/bugtraq/2008-01/msg00087.html
...per di più stanno arrivando le prime segnalazioni di attacchi riusciti in data 5 gennaio 2008 (ed era logico attenderlo)
http://forum.joomla.org/index.php/topic,251280.0.html
-
io non ho capito che tipo di danno possono fare...
-
Accedere, (mentre sei connesso come super amministratore sia che tu sia in front-end che in backend), e creare, senza il tuo consenso è ovvio, un account super-amministratore e chissà......
magari ti degradano a publisher (nella migliore delle ipotesi) oppure ti fanno "icchè vogliono nel sito" dato che avranno accesso a tutte le funzioni amministrative del sito e quindi alle password del database, al media manager per caricare ciò che desiderano .... insomma basta come lista o proseguo? ;D ;)
Per farti un esempio ti posso dire che Phil Taylor per far capire al capo progetto i rischi di questa falla, dato che alll'inizio non lo ca....no di striscio, si è creato un account super amministratore .......... dove? Nel sito del personale di uno dei membri del Team di Joomla!
-
no...no...basta così mi sento già male....
-
Comunque, anche se grave sta cosa si possono dormire sonni relativamente tranquilli seguendo alcune semplici regolette.
Evitare di lasciare la sessione amministratore aperta, ovvero se state amministrando qualcosa nel sito non navigate in altri siti e appena terminato scollegatevi.
Se possibile eliminate "la funzione ricordami" nel login, oppure usatela con la dovuta cautela, abbassate anche il tempo di sessione loggin, (lo so è una noia quando si devono scrivere articoli lunghi e ci si scontra con la disconnessione automatica) ma prendete l'abitudine di scrivere gli articoli offline e poi copiate/incollate il testo online.
Per tirare sul un po' il morale (lo so è sarcartico ma in questi momenti ci vuole), pensate che questo non è un problema che al momento attanaglia solo Joomla! ma anche altri applicativi per cui ... stringiamoci tutti forte e facciamoci coraggio ;)
-
Quando piove sul bagnato ....
http://www.derkeiler.com/Mailing-Lists/securityfocus/bugtraq/2008-01/msg00087.html
...per di più stanno arrivando le prime segnalazioni di attacchi riusciti in data 5 gennaio 2008 (ed era logico attenderlo)
http://forum.joomla.org/index.php/topic,251280.0.html
Scusa vamba, quel link che hai postato no...
c'è il codice dell'exploit. ok,
è un codice banalissimo e stupidissimo, un form che fa una richiesta a un determinato sito joomla al com_user per creare un utente superamministratore, e quindi se se l'amministratore è loggato nell'amministrazione e accede alla pagina con exploit automaticamente si crea un utente con i permessi di super admin con user e pass usati nello script.
Ok, la mia domanda è: ma il problema non è mica solo quello?
Cioè, quello non è mica l'unico exploit?
Perchè, spiego:
l'ho provato su un mio sito;
ha funzionato se non alla prima, alla seconda botta (avevo sbagliato a inserire qualche impostazione).
Quindi ho aperto i file del componente com_user del mio joomla e gli ho fatto una stupida modifica.
Ho riprovato l'exploit, e non ha funzionato, cioè l'ho bloccato.
Ma a me è sembrata una cosa banale!
Ci devono essere sicuramente altri inghippi...
-
Dal Link postato da Vamba ho letto queste righe:
Disclosure timeline
===================
Oct 18 2007 - Vulnerability found.
Oct 18 2007 - Vulnerability reported to vendor.
Oct 18 2007 - Answer from vendor.
Jan 08 2008 - Advisory released.
Cioè dal 18 Ottobre hanno avvisato solo l'8 di Gennaio?
E ancora non c'è una patch...
Capisco che all'inizio non è stata presa in considerazione come una reale minaccia alla sicurezza, però mi sembrano tempi troppo lunghi...
-
Concordo, quoto e applaudo.... Bingo! ;D (poi m'inchino pure)
non per sfottere mi raccomando ma mi vien proprio dal cuore ... finalmente un post che mi riempie di gioia.
E' PROPRIO PER QUESTO CHE LA COMUNITA' E IMBUFALITA (e io con loro)
Come diamine si fa a pensare di patchare prima una versione non ancora stabile con decine di migliaia di siti a scapito di milioni di siti che usano ancora la versione 1.0.x!
Tu in poco tempo il tuo personale tappabuco l'hai trovato, allora diciamo.........
con milioni di utenti che da anni utilizzano la serie 1.0.x
(e le poche migliaia che seguono la serire 1.5) perchè il team non ha avvisato subito di questo problema?
-
quindi se uno non si logga mai da superadmin non ha problemi?
-
quindi se uno non si logga mai da superadmin non ha problemi?
domanda ultrapertinente :)
-
Allora mi registro un Administrator ed entro solo cosi! :D
-
quindi se uno non si logga mai da superadmin non ha problemi?
Ottima domanda ... rispondo per quel che ne so io ..... Boh!!!
Dato che adesso son tutti focalizzati sul problema non si sa con certezza se tale è per qualsiasi livello di accesso amministrativo.
Personalmente credo che non dovrebbe intaccare il livello acceso manager ed inferiori,(in quanto non hanno permessi per la creazione di utenti) ma è anche vero che però l'amministratoire a sua volta non può creare un super-admin.
Quindi se ne deduce che dato che solo un super-admin può creare un altro super-admin.... essere collegati come administrator
dovrebbe salvarci da sto problema. (sempre che poi uno non si crei un account administrator ... che pianta il sito lo stessso in quanto ha accesso, ok a meno funzioni amministrative però ha sempre i suoi bei possedimenti pure lui :) )
-
Da questa considerazione si potrebbe dire che chi non ha bisogno di fare cose da amministratore, può crearsi un account manager. In effetti il più delle volte io stesso mi logo sempre come admin nei miei siti, quando faccio operazioni semplici di manager. Sarebbe buona norma utilizzare account in base alle esigenze. Del resto nei sistemi come linux non ci si loga mai come admin. Questo preserva eventuali danni. Chiaramente il concetto tra sistema operativo e cms è un pò diverso e in particolare i due temi, però forse sarebbe una buona usanza non accedere sempre come super admin in joomla quando non nserve.
-
Ciao a tutti,
Magari sapete già tutti, ma ripetere non nuoce.
Ho sentito di un trucchetto che può risolvere il problema del CSRF almeno in attesa di un release 1.0.x o 1.5 stabile.
http://blog.phil-taylor.com/2008/01/05/using-prisim-to-administrate-joomla-safer/
In ogni caso mi sembra un buon accorgimento.
-
Da questa considerazione si potrebbe dire che chi non ha bisogno di fare cose da amministratore, può crearsi un account manager. In effetti il più delle volte io stesso mi logo sempre come admin nei miei siti, quando faccio operazioni semplici di manager. Sarebbe buona norma utilizzare account in base alle esigenze. Del resto nei sistemi come linux non ci si loga mai come admin. Questo preserva eventuali danni. Chiaramente il concetto tra sistema operativo e cms è un pò diverso e in particolare i due temi, però forse sarebbe una buona usanza non accedere sempre come super admin in joomla quando non nserve.
Quoto
-
quindi se uno non si logga mai da superadmin non ha problemi?
No, ma non mi sembra ottima come soluzione.
Comunque io ho risolto con poche righe di codice e ho bloccato quell'exploit lì (quello del link). Ma credo che ce ne siano molti altri possibili, anche se forse quello è il più pericoloso e il più stupido da mettere in atto (provare per credere).
-
Forse stiamo facendo un po' di confusione, ma è logico quando quantità di notizie arrivano contemporaneamente.
@double_d quello del link non è in riferimento al al problema CFSR, e un'altra segnalazione che parla di un'altro problema di exploit.
Al momento, pare, che esistano vari tipi di segnalazioni effettuati nel trimestre ott-nov-dic 2008 (ricordiamoci che l'ultimo fix per la serie 1.0.x risale ad agosto 2007).
Diciamo che questi due sono quelli che preoccupano di più al momento, e metre quello a cui fa riferimento double_d è ristretto pare a joomla (e mambo) il problema del CFSR pare molto più ampio e che abbracci più applicativi.
-
certo che non e' la soluzione migliore, ma i siti fatti e finiti che non hanno bisogno di gestione sono piu' sicuri dal questo punto di vista, ovvio che chi ha dei siti che devono essere costantemente aggiornati ha dei problemi.
speriamo che risolvano in fretta, adesso l'unica cosa e' stare attenti e fare backup ogni giorno
saluti
-
Salve, dopo aver letto l'articolo in homepage http://www.joomla.it/index.php?option=com_content&task=view&id=569&Itemid=160, volevo chiedervi se si protegge con htaccess la cartella administrator il bug "CSRF" funziona lo stesso o no?
Cioè se riescono a carpirmi per mezzo del bug i dati per l'accesso al lato amministrativo, poi visto che la cartella è protetta anche con htaccess, riesco ad accedervi?
-
Mi rispondo da solo purtroppo come leggo da questo post: http://forum.joomla.org/index.php/topic,248109.msg1142207.html#msg1142207, il problema resta.
Hi,
If the admin part is .htaccess protected is it going to stop the account creation from the hacker?
No - cause if YOU are logged into your admin console then YOU have already supplied your htaccess credentials and the CSRF Vulnerability will use those credentials when accessing your site. htaccess is not the answer.
-
Per quanto ho potuto vedere, sperimentando sulla mia "pelle" l'attacco descritto in http://www.derkeiler.com/Mailing-Lists/securityfocus/bugtraq/2008-01/msg00087.html (http://www.derkeiler.com/Mailing-Lists/securityfocus/bugtraq/2008-01/msg00087.html), esso funziona bene con Firefox: infatti, crea un nuovo utente con poteri di amministratore su Joomla. IE 7 avvisa che "Per ragioni di sicurezza del computer, e' necessario aprire siti appartenenti ad aree di protezione diverse in finestre diverse". Cio' fa si' che si apra una nuova finestra di IE7 (non un tab), e cio' impedisce di agire come admin su Joomla. In altre parole, l'attacco fallisce.
L'attacco riesce con Firefox, anche se la pagina e' protetta con htaccess, poiche' e' sufficiente che un amministratore sia loggato.
Se l'attacco CSRF riesce, non e' colpa di Firefox. Un po' tutte le web application sono colpite dal CSRF.
Perche' abbia successo, tuttavia, richiedono una serie di coincidenze, che sono possibili, certo, ma con bassa probabilita'. In pratica, perche' il tutto funzioni, deve succede che:
1) l'amministratore sia loggato in Joomla
2) deve contemporaneamente navigare in siti con il codice dell'attacco
3) deve usare Firefox o IE < 7.0 (se qualcuno riesce anche con 7.0 me lo comunichi, anche in priv.)
4) deve aprire le due pagine (quella di amministrazione di Joomla e quella con il codice malevolo) in due tab nella stessa finestra.
La soluzione descritta in http://blog.phil-taylor.com/2008/01/05/using-prisim-to-administrate-joomla-safer/ (http://blog.phil-taylor.com/2008/01/05/using-prisim-to-administrate-joomla-safer/) (Progetto Prism) sembra essere un ottimo palliativo.
Ciao a tutti.
RR
-
Se ho capito bene, si deve amministrare il proprio sito sotto il programma Prism??
Mi confermate?
Grazie
-
Sì, lo installi (è semplicissimo) e ti crea degli shortcut sul desktop che aprono la url di amministratore in una finestra separata (tra l'altro alto leggera).
Poi tutto continua come sempre. Io l'ho provato e mi trovo bene
-
Sì, lo installi (è semplicissimo) e ti crea degli shortcut sul desktop che aprono la url di amministratore in una finestra separata (tra l'altro alto leggera).
Poi tutto continua come sempre. Io l'ho provato e mi trovo bene
Confermo è stupendo e penso che lo utilizzerò anche se risolvono il bug
-
Grazie ;)
-
Joomla 1.0.14 RC1 è fuori!
http://www.joomla.org/content/view/4446/1/
-
attenzione però
attendete la versione localizzata ITA noi siamo alla 13b
il sito ufficiale org non ha mai parlato di B
-
Posso chiedere in cosa differisce? a parte la lingua?
-
Posso chiedere in cosa differisce? a parte la lingua?
sarebbe da chiedere a vamba !!
io non lo so
-
Volevo segnalare questo articolo su JoomlaShow:
http://www.joomlashow.it/news/joomla/rilasciata-joomla-1.0.14-rc1/
-
Ho un dubbio riguardo l'applicazione della patch.
Per applicarla senza problemi (a parte il backup completo) basta che sposto il file nella directory dove è installata joomla e unzippo la patch? In tal modo vengono sovrascritti tutti i file compresi nella patch e mantenuti inalterati quelli non contenuti?
Se per esempio ho vari templates nella cartella templates e vari componenti installati, li ritroverò comunque pari pari o la patch unzippata sovrascrive tutto l'ambaradan rastrellando praticamente le mie modifiche e portando il sito (non il database) ad una installazione base?
Grazie per eventuali risposte.
-
salvo cose strane di questa versione, come le altre, basta sovrascrivere i file vecchi coni nuovi, unzippala in locale e controlla che file va a cambiare così stai più sicuro
ciao
-
Forse non mi sono spiegato bene.
Non volevo unzipparla in locale e poi andare a sovrascrivere file per file in remoto (son parecchi file e ho 3 siti da aggiornare)
ma mi chiedevo, se la carico e in remoto e la scompatto
nell'aprirsi andrà a sovrascrivere solo i file necessari lasciando intatti gli altri "aggiuntivi" (template moduli e componenti installati) oppure rischio che mi sovrascrive tutto portandomi i siti a una installazione "base"?
-
anch'io non mi sono spiegato bene, unzippandola in locale vedi che file va a modificare, se vede che va modificare file che hai personalizzato ti regoli di conseguenza.
se non modifica file personalizzati allora la carichi zippata e poi la scoppantti direttamente dal server
ciao!
-
Stavo pensando che si potrebbe cambiare il nome della cartella administrator in un altro nome di fantasia e rinominarla in administrator solo quando serve...
è una ****ata? SI lo è ;D ho verificato che da problemi bisognerebbe modificare un pò di cose...
-
Ok grazie Victor
chi avesse esperienze in merito è bene accetto :)
-
<che triste storia....
Speriamo se ne venga a capo prestO!!!!!
:o :o :o :o :o
-
In definitiva è bene attendere la versione aggiornata e localizzata in ita?