Back to top

Visualizza post

Questa sezione ti permette di visualizzare tutti i post inviati da questo utente. N.B: puoi vedere solo i post relativi alle aree dove hai l'accesso.


Post - Rosario

Pagine: [1] 2 3
1
E' stata scoperta una vulnerabilita' sul componente "Restaurante" che potrebbe rivelare le username e  gli hash delle password di Joomla  :o . Per chi usa questo componente, consiglio di tenere d'occhio l'upgrade. Regola generale: cambiare sempre i prefissi del db durante l'installazione.

Fonte:
http://secunia.com/advisories/29471/

Ciao e buona pasqua a tutti

Ah, aggiungo: anche il componente Alberghi soffre della stessa vulnerabilità, cioè restituisce l'hash della password dei superadmin.

2
Per quanto ho potuto vedere, sperimentando sulla mia "pelle" l'attacco descritto in http://www.derkeiler.com/Mailing-Lists/securityfocus/bugtraq/2008-01/msg00087.html, esso funziona bene con Firefox: infatti, crea un nuovo utente con poteri di amministratore su Joomla. IE 7 avvisa che "Per ragioni di sicurezza del computer, e' necessario aprire siti appartenenti ad aree di protezione diverse in finestre diverse". Cio' fa si' che si apra una nuova finestra di IE7 (non un tab), e cio' impedisce di agire come admin su Joomla. In altre parole, l'attacco fallisce.

L'attacco riesce con Firefox, anche se la pagina e' protetta con htaccess, poiche' e' sufficiente che un amministratore sia loggato.

Se l'attacco CSRF riesce, non e' colpa di Firefox. Un po' tutte le web application sono colpite dal CSRF.

Perche' abbia successo, tuttavia, richiedono una serie di coincidenze, che sono possibili, certo, ma con bassa probabilita'. In pratica, perche' il tutto funzioni, deve succede che:
1) l'amministratore sia loggato in Joomla
2) deve contemporaneamente navigare in siti con il codice dell'attacco
3) deve usare Firefox o IE < 7.0 (se qualcuno riesce anche con 7.0 me lo comunichi, anche in priv.)
4) deve aprire le due pagine (quella di amministrazione di Joomla e quella con il codice malevolo) in due tab nella stessa finestra.

La soluzione descritta in http://blog.phil-taylor.com/2008/01/05/using-prisim-to-administrate-joomla-safer/ (Progetto Prism) sembra essere un ottimo palliativo.

Ciao a tutti.
RR

3
Grazie, prossimamente lo scarico e gli do un'occhiata.
Ciao

4
Ciao a tutti,
ho bisogno di un componente/modulo per creare form (del tipo facileform). Il fine e' raccogliere alcuni dati direttamente da clienti on-line, che devono limitarsi a compilare il form e inviarmi le risposte. Sui dati inseriti si deve poi operare una successiva elaborazione (ad esempio, ricavare statistiche, ecc...)

Primo quesito: quali moduli/componenti servono al mio scopo e dove li posso scaricare?

Secondo quesito: una volta che i clienti hanno compilato tutti i form, come posso elaborare i dati? Che strumenti mi mettono a disposizione questi componenti per l'elaborazione post-inserimento?

Grazie a tutti.
RR

5
Grazie napo, preciso come sempre!

6
Ciao a tutti,
volevo chiedervi se passare dalla 1.0.5 alla 1.0.11 di botto, senza passare dalle intermedie versioni, puo' causare problemi.
Grazie in anticipo.
Ros

7
Sì, grazie, era proprio questo!  ;D


8
Ciao a tutti,
nella home page, il testo introduttivo dei contenuti pubblicato in prima pagina (per intenderci, quelli la cui lettura continua cliccando su "Leggi tutto...") ha una formattazione che non mi soddisfa: in pratica, se l'articolo pubblicato in prima pagina è uno solo, Joomla me lo mostra normalmente e occupa tutto lo spazio; se ne aggiungo un altro, questo lo sistema sotto al precedente (e fin qui mi sta bene); ma se ne aggiungo un terzo, il layout cambia ancora: uno testo sta in alto, poi, sotto, compare una tabella (invisibile) con un contenuto a sinistra ed uno a destra (in pratica: un testo unico sopra e due colonne sotto); i contenuti eventualmente aggiunti dopo, si posizionano ancora piu' sotto, con un laconico: "Altri articoli".

A me questo layout non piace: preferisco, ad esempio, quello di Joomla.it, che posiziona tutti gli articoli introduttivi in prima pagina uno sotto l'altro, semplicemente, anche ce ne dovessero essere 100!

Come posso modificare questo layout? E' un problema di template, oppure devo agire su qualche parametro? E quale?

Spero di essermi spiegato...  :o

Ciao e grazie a tutti per la risposta!


9
La cosa strana è che se faccio un collegamento al menu per quella pagina, la pagina viene visualizzata (per intero) correttamente (difatti ha accesso pubblico). Lo strano comportamento, invece, si ravvisa quando la notizia, divisa nelle due parti, è inserita in "prima pagina" e si clicca sul link "Leggi tutto". A quel punto, e solo in questo caso, misteriosamente, compare il messaggio "spiacenti, non sei autorizzato ecc...".

Qualche anima pia è in grado di spiegarmi il problema (e magari un suggerimento)?


10
Sì, ho provato, ma ... nisba! Utilizzo due browser e due computer diversi proprio per questo. Inoltre, l'articolo l'ho aggiunto ora nuovo nuovo, per cui nella cache non poteva esserci nulla.

Altre idee?

11
Ciao a tutti,
riposto qui il mio problema, visto che mi sembra un'area del forum piu' attiva di quella relativa alla segnalazione bug. Anche perche' forse non e' un bug...  ???
Ho il seguente problema: scrivendo un articolo, dividendolo nelle classiche due parti (testo introduttivo e testo esteso) e pubblicandolo in "Prima pagina", quando vado a visualizzare tutto l'articolo (cliccando sul link "Leggi tutto"), mi dà sempre: "Spiacenti, ma non sei autorizzato a visualizzare questa risorsa". Eppure, la sezione dell'articolo è pubblica, come pure la categoria, e la notizia stessa!
Ho provato a cancellare la notizia e ripristinarla dal cestino, ma non cambia nulla! Ho provato anche a switchare su "Registered" e a tornare su "Public", ma non cambia nulla! Ho verificato su phpmyadmin, ma tutti i flag di accesso sono a 0 ( = Public), quindi non so che diavolo succede... forse c'è un qualche settaggio nascosto nelle configurazioni globali che non riesco a vedere? Sembra proprio che Joomla se ne infischi dei flag di livello di accesso...  >:(

Grazie per l'aiuto!

Ho Joomla 1.0.11

12
Anch'io ho un problema simile: scrivendo un articolo, dividendolo nelle classiche due parti (testo introduttivo e testo esteso) e pubblicandolo in "Prima pagina", quando vado a visualizzare tutto l'articolo (cliccando sul link "Leggi tutto"), mi dà sempre: "Spiacente, ma non sei autorizzato a visualizzare questa risorsa". Eppure, la sezione dell'articolo è pubblica, come pure la categoria, e la notizia stessa!
Ho provato a cancellare la notizia e ripristinarla dal cestino, ma non cambia nulla! Ho provato anche a switchare su "Registered" e a tornare su "Public", ma non cambia nulla!

Per quali ragioni Joomla se ne infischia del flag di accesso? Ho Joomla 1.0.11

13
Hai aggiornato il file configuration.php alla voce $mosConfig_live_site con l'indirizzo Web corrente (ad es, http://www.miosito.com) e alla voce $mosConfig_absolute_path con il percorso delle cartelle sul server dove adesso è ospitato (es: /var/www/miosito)?

14
No, scusate, ho fatto un errore! E' solo per community builder! :-X

La patch vale solo per questo componente... scusate, si vede che ero proprio stanco!!! Comunque, la versione che ho scaricato di Community Builer non funziona con il mio 1.0.5, ho dovuto applicare quella patch.

Per Docman non ricordo se ha funzionato al primo colpo... a questo punto ce lo dirà graphikart...


15
Con DocMan riesci a creare delle aree e a metterci dei documenti (pdf, doc, ecc...), concedendo l'accesso a questi documenti (e alle relative aree) a gruppi o utenti. Ad esempio, nell'area 1 possono accedere il gruppo 'registered' + gli utenti A, B e C. E' possibile anche creare gruppi personalizzati (oltre a quelli standard di Joomla!) e gestire l'accesso ai vari file a livello del singolo utente.

Occhio, pero'. Con la versione 1.0.5 di Joomla!, DocMan non funziona correttamente (dà un "Fatal error"): devi applicare una patch che ho trovato qua: http://www.joomlapolis.com/component/option,com_joomlaboard/Itemid,38/func,view/id,2787/catid,10/limit,6/limitstart,18/

(leggiti la quarta risposta, e' quella che contiene la patch da applicare)

Sarà meglio che Joomla.it provveda ad aggiornare direttamente il sorgente di DocMan che propone nel proprio repository, cosicché funzioni correttamente anche con la release corrente di Joomla!, 1.0.5, senza dover perdere un pomeriggio a cercare la patch giusta e a provarne molte altre inutilmente (come è capitato a me!).

Spero di esserti stato utile.
Ciao

16
Premetto che non ho mai incontrato quell'errore. Comunque, sembrerebbe dovuto ad un problema di mySQL: la tabella jos_users contiene gia' un utente con id=0 (come si deduce dal messaggio: entry duplicata '0' per la prima chiave (id)). L'errore c'e' perche' la chiave 'id' e' una chiave primaria (PRIMARY KEY), e non puo', per definizione, avere duplicati. E' sufficiente che la chiave id non sia '0', ma un numero che non esiste in nessun'altra riga di quella tabella. Strano, comunque, quest'errore: ma lo fa con tutti gli utenti? La chiave primaria (id) dovrebbe essere dichiarata con l'opzione auto_increment, per cui dovrebbe automaticamente incrementarsi. Anzi, è strano che ti venga riportato un errore cosi': in teoria, la query SQL non dovrebbe inserire un valore preciso per 'id' (0 nel tuo caso), dato che la chiave primaria 'id' dovrebbe incrementarsi da sola, semplicemente dichiarando NULL il campo. La query corretta doveva essere: SQL=INSERT INTO jos_users ( `id`,`name`,`username`,`email`,`password`,`gid`,`registerDate` ) VALUES (NULL,\'xxxxxxx xxxxxx\',\'Kicca\',\'xxxxxx@xxxxx.com\',\'xxxxxxxxxxxxxxxxxxxxxxxxxxxxxx\',\'18\',\'2005-12-05T14:26:17\' )

Ma hai modificato a mano parte del codice? E' inverosimile che il codice, cosi' com'e' distribuito, includa un errore tale!!!

La prossima volta, comunque, scrivi che versione di Joomla usi, e soprattutto facci capire se l'errore si verifica con tutti gli utenti o solo con quello.

Ciao!

17
Non sarei molto sicuro come Bettinz per quanto riguarda joomla: nel link suggerito (http://forum.joomla.org/index.php/topic,19204.0.html) sembrerebbe che pure joomla sia affetto. Da quello che  ho capito, per essere vulnerabili bisogna avere PHP >= 4.41 or 5.0.4. Per verificare la vulnerabilita', provate a inserire nel vostro browser:
Codice: [Seleziona]
http://www.miosito.it/index.php?GLOBALS[mosConfig_absolute_path]=/etc/passwdoppure:
Codice: [Seleziona]
http://www.miosito.it/index.php?GLOBALS[mosConfig_absolute_path]=http://www.unaltrosito.it
e saprete subito se siete o no vulnerabili.  Se il messaggio è "fatal error ecc...", allora potete dormire sonni tranquilli, altrimenti, via col backup e con l'upgrade.

E' sufficiente aggiornare php e tutto dovrebbe aggiustarsi.

Mi piacerebbe sapere se qualcuno che ha Joomla (qualsiasi versione) e php < 4.41 o 5.04, effettivamente riscontra questa vulnerabilità.

18
Segnalazione Bug Joomla 1.0.x / Re: Itweather da dei problemi
« il: 21 Nov 2005, 14:22:49 »
Ma prima che lo modificassi funzionava? La provincia puoi selezionarla tu, senza modificare il codice. Al massimo puoi usare l'opzione "selected" per impostare quella di default (<option value='tua_citta' selected>Tua_citta</option>) nell'html, in ogni caso non e' necessario modificare il codice.

Ps: per Ste: io vi ho inviato il pacchetto come mi hai suggerito, ma non e' stato approvato? Io non lo vedo ancora nella sezione download... che devo fa'?

19
Allora prova a fare quello che ti ho detto nel precedente mio post, solo che anziche' modificare la riga 153, modifichi la 146:
Codice: [Seleziona]
<td width="25%" height="20" class="<?php echo $tabclass[$k]; ?>">
Il problema, a mio parere, è che è impostata un'area per la tabella troppo piccola. L'unico modo è allargarla manualmente. Bisogna che ti leggi il sorgente della pagina HTML che ti arriva sul browser, individuare la porzione che definisce la tabella contatti (quella tra i due <table></table>) e ricercare il codice nei sorgenti php di Joomla.

20
Secondo me dovresti fare cosi': vai nel file
Codice: [Seleziona]
components/com_contact/contact.html.phpe modifica la riga 153 
Codice: [Seleziona]
<td width="25%" class="<?php echo $tabclass[$k]; ?>">
e al posto di width="25%" metti un valore piu' alto (fino al 50%, altrimenti penso che sforeresti nella zona a destra). Oppure inserisci la dimensione in pixel (Es. width="250", cioè 250 pixel).

Ps: bello, quell'orologio in flash. L'hai fatto tu o e' liberamente scaricabile?

Pagine: [1] 2 3


Web Design Bolzano Kreatif