Joomla.it Forum

Forum traduzioni italiano => Le traduzioni e le informazioni della community => Topic aperto da: alexred - 21 Ott 2016, 16:18:23

Titolo: Annunciato l'arrivo di un aggiornamento di sicurezza per Joomla!
Inserito da: alexred - 21 Ott 2016, 16:18:23
ATTENZIONE è stata scoperta una importante falla di sicurezza ed è previsto un nuovo aggiornamento Joomla 3.6.4 per martedì prossimo 25 ottobre 2016, indicativamente nel pomeriggio.

Link all'articolo: http://www.joomla.it/notizie/8502-annunciato-l-arrivo-di-un-aggiornamento-di-sicurezza-per-joomla.html
Titolo: Re:Annunciato l'arrivo di un aggiornamento di sicurezza per Joomla!
Inserito da: $Red - 21 Ott 2016, 16:20:26
Ciao Alex, grazie mille ci tieni sempre informati, per favore puoi darmi il link della patch su github? grazie
Titolo: Re:Annunciato l'arrivo di un aggiornamento di sicurezza per Joomla!
Inserito da: alexred - 21 Ott 2016, 16:46:29
Ciao $Red,
essendo una patch si sicurezza questa non può essere pubblica.
Titolo: Re:Annunciato l'arrivo di un aggiornamento di sicurezza per Joomla!
Inserito da: giusebos - 21 Ott 2016, 16:52:19
si sa se hanno corretti gli ultimi bug che sono venuti fuori con la 3.6.3?
Titolo: Re:Annunciato l'arrivo di un aggiornamento di sicurezza per Joomla!
Inserito da: MariaElenaBoschi - 21 Ott 2016, 16:57:58
Ciao $Red,
essendo una patch si sicurezza questa non può essere pubblica.
...infatti, nel titolo spero che intendano come patch la soluzione del problema che potrebbe essere ancora irrisolto.
Non vorrei credere che qualcuno avrà la patch e qualcuno dovrà attendere il rilascio...
Titolo: Re:Annunciato l'arrivo di un aggiornamento di sicurezza per Joomla!
Inserito da: $Red - 21 Ott 2016, 17:10:08
OK! aspettiamo martedì, nella speranza sia un aggiornamento "minimo" che non va ad inserire strani comportamenti post aggiornamento!
Titolo: Re:Annunciato l'arrivo di un aggiornamento di sicurezza per Joomla!
Inserito da: alexred - 21 Ott 2016, 17:11:00
si sa se hanno corretti gli ultimi bug che sono venuti fuori con la 3.6.3?
sono già state inserite 13 correzioni nella 3.6.4,  ma quella critica sull'utilizzo della Verifica in due passaggi non pare ancora inserito anche se la correzione c'è:  https://github.com/joomla/joomla-cms/pull/12497
mancano le conferme sul test e non saprei quando sarà inserita.

Poi non è ancora certo se la 3.6.4 conterrà la sola correzione della falla di sicurezza o se le altre correzioni slitteranno nella 3.6.5 o se saranno inserite. Essendoci così poco tempo a disposizione io suppongo che la 3.6.4 conterrà la sola patch di sicurezza, ma ne sapremo di più la prossima settimana.
Titolo: Re:Annunciato l'arrivo di un aggiornamento di sicurezza per Joomla!
Inserito da: alexred - 22 Ott 2016, 18:10:12
pare che nell'aggiornamento 3.6.4 oltre alla patch di sicurezza sarà integrata anche la correzione al problema del login con la Verifica in due passaggi
Titolo: Re:Annunciato l'arrivo di un aggiornamento di sicurezza per Joomla!
Inserito da: miao - 23 Ott 2016, 14:21:46
Ciao
La domanda che mi viene da fare è
la falla è nata con 3.6.3  o già c'era con 3.6.2?
 :( :(
saluti



Titolo: Re:Annunciato l'arrivo di un aggiornamento di sicurezza per Joomla!
Inserito da: jeckodevelopment - 23 Ott 2016, 14:37:12
pare che nell'aggiornamento 3.6.4 oltre alla patch di sicurezza sarà integrata anche la correzione al problema del login con la Verifica in due passaggi

Confermo

Citazione
Poi non è ancora certo se la 3.6.4 conterrà la sola correzione della falla di sicurezza o se le altre correzioni slitteranno nella 3.6.5 o se saranno inserite. Essendoci così poco tempo a disposizione io suppongo che la 3.6.4 conterrà la sola patch di sicurezza, ma ne sapremo di più la prossima settimana.

La 3.6.5 non è prevista.
Titolo: Re:Annunciato l'arrivo di un aggiornamento di sicurezza per Joomla!
Inserito da: jeckodevelopment - 23 Ott 2016, 14:40:01
...infatti, nel titolo spero che intendano come patch la soluzione del problema che potrebbe essere ancora irrisolto.
Non vorrei credere che qualcuno avrà la patch e qualcuno dovrà attendere il rilascio...

Il rilascio avverrà martedì. Chi "sta dentro" conosce il bug e sa anche come è stato risolto... stesso si può dire di te, sono sicuro che sai già quale sia il problema e sai già che contromisure si adottano :P
Titolo: Re:Annunciato l'arrivo di un aggiornamento di sicurezza per Joomla!
Inserito da: MariaElenaBoschi - 23 Ott 2016, 15:19:16
:) no, stavolta no perchè non ho avuto molto tempo per spulciare il codice, mi stavo interessando a quella che coinvolge php 5.6 e 7 fino a Version 7.0.12 (il solito unserialize solo che è un po' più complicato sfruttarla) e l'altra nelle .jpg2000.
Titolo: Re:Annunciato l'arrivo di un aggiornamento di sicurezza per Joomla!
Inserito da: alexred - 23 Ott 2016, 15:37:04
la falla è nata con 3.6.3  o già c'era con 3.6.2?
Ciao miao,
no, la falla non è nata con la 3.6.3 ma non è chiaro fino a quali versioni siano coinvolte.
Titolo: Re:Annunciato l'arrivo di un aggiornamento di sicurezza per Joomla!
Inserito da: MariaElenaBoschi - 26 Ott 2016, 11:55:11
per i curiosi
https://medium.com/@showthread/joomla-3-6-4-account-creation-elevated-privileges-write-up-and-exploit-965d8fb46fa2
http://paper.seebug.org/86/
http://paper.seebug.org/88/
Titolo: Re:Annunciato l'arrivo di un aggiornamento di sicurezza per Joomla!
Inserito da: MariaElenaBoschi - 27 Ott 2016, 20:41:46
https://www.joomla.org/announcements/release-news/5679-revised-assessment-of-3-6-4-security-release.html

As part of our post-release review process for the 3.6.4 release, the Joomla! Security Strike Team has identified and confirmed an additional side effect of the issue resolved in security advisory 20161002 (CVE-2016-8869) and as such we have revised our assessment of this issue.

As stated in the advisory, the incorrect use of unfiltered data in Joomla! 3.4.4 through 3.6.3 allowed a malicious user to register on a website with elevated privileges. Through this same attack vector, we have additionally confirmed that it was possible under some circumstances to overwrite an existing user’s account data with a spoofed request.
Although the issue relies on an earlier exploit which has already been resolved in the 3.6.4 release, security advisory 20161003 was published for this issue.
Updating to Joomla! 3.6.4 ensures this vulnerability has been patched and there is nothing further that you need to do.

Inoltre oggi è stata aggiunta nei principali database di vulnerabilità quindi nei prossimi giorni aspettatevi di vedervi portato via il sito se non aggiornate.