Autore Topic: Annunciato l'arrivo di un aggiornamento di sicurezza per Joomla!  (Letto 4647 volte)

Offline alexred

  • Fuori controllo
  • *
  • Post: 25672
  • Sesso: Maschio
  • Esperto in ozio relaxed
    • Mostra profilo
ATTENZIONE è stata scoperta una importante falla di sicurezza ed è previsto un nuovo aggiornamento Joomla 3.6.4 per martedì prossimo 25 ottobre 2016, indicativamente nel pomeriggio.

Link all'articolo: http://www.joomla.it/notizie/8502-annunciato-l-arrivo-di-un-aggiornamento-di-sicurezza-per-joomla.html
« Ultima modifica: 21 Ott 2016, 16:43:59 da alexred »

Offline $Red

  • Team Joomla.it
  • Instancabile
  • *******
  • Post: 5269
  • "Bastard Inside"
    • Mostra profilo
Re:Annunciato l'arrivo di un aggiornamento di sicurezza per Joomla!
« Risposta #1 il: 21 Ott 2016, 16:20:26 »
Ciao Alex, grazie mille ci tieni sempre informati, per favore puoi darmi il link della patch su github? grazie

Offline alexred

  • Fuori controllo
  • *
  • Post: 25672
  • Sesso: Maschio
  • Esperto in ozio relaxed
    • Mostra profilo
Re:Annunciato l'arrivo di un aggiornamento di sicurezza per Joomla!
« Risposta #2 il: 21 Ott 2016, 16:46:29 »
Ciao $Red,
essendo una patch si sicurezza questa non può essere pubblica.

Offline giusebos

  • Fuori controllo
  • *
  • Post: 21013
  • Sesso: Maschio
  • Giuseppe Serbelloni Mazzanti Viendalmare
    • Mostra profilo
Re:Annunciato l'arrivo di un aggiornamento di sicurezza per Joomla!
« Risposta #3 il: 21 Ott 2016, 16:52:19 »
si sa se hanno corretti gli ultimi bug che sono venuti fuori con la 3.6.3?
su www.icagenda.it guide e tutorial con esempi di chronoforms e chronoconnectivity

Offline MariaElenaBoschi

  • Appassionato
  • ***
  • Post: 469
    • Mostra profilo
Re:Annunciato l'arrivo di un aggiornamento di sicurezza per Joomla!
« Risposta #4 il: 21 Ott 2016, 16:57:58 »
Ciao $Red,
essendo una patch si sicurezza questa non può essere pubblica.
...infatti, nel titolo spero che intendano come patch la soluzione del problema che potrebbe essere ancora irrisolto.
Non vorrei credere che qualcuno avrà la patch e qualcuno dovrà attendere il rilascio...
mancano 2 giorni alla mia prematura dipartita, saluti a tutti, meb.

Offline $Red

  • Team Joomla.it
  • Instancabile
  • *******
  • Post: 5269
  • "Bastard Inside"
    • Mostra profilo
Re:Annunciato l'arrivo di un aggiornamento di sicurezza per Joomla!
« Risposta #5 il: 21 Ott 2016, 17:10:08 »
OK! aspettiamo martedì, nella speranza sia un aggiornamento "minimo" che non va ad inserire strani comportamenti post aggiornamento!

Offline alexred

  • Fuori controllo
  • *
  • Post: 25672
  • Sesso: Maschio
  • Esperto in ozio relaxed
    • Mostra profilo
Re:Annunciato l'arrivo di un aggiornamento di sicurezza per Joomla!
« Risposta #6 il: 21 Ott 2016, 17:11:00 »
si sa se hanno corretti gli ultimi bug che sono venuti fuori con la 3.6.3?
sono già state inserite 13 correzioni nella 3.6.4,  ma quella critica sull'utilizzo della Verifica in due passaggi non pare ancora inserito anche se la correzione c'è:  https://github.com/joomla/joomla-cms/pull/12497
mancano le conferme sul test e non saprei quando sarà inserita.

Poi non è ancora certo se la 3.6.4 conterrà la sola correzione della falla di sicurezza o se le altre correzioni slitteranno nella 3.6.5 o se saranno inserite. Essendoci così poco tempo a disposizione io suppongo che la 3.6.4 conterrà la sola patch di sicurezza, ma ne sapremo di più la prossima settimana.

Offline alexred

  • Fuori controllo
  • *
  • Post: 25672
  • Sesso: Maschio
  • Esperto in ozio relaxed
    • Mostra profilo
Re:Annunciato l'arrivo di un aggiornamento di sicurezza per Joomla!
« Risposta #7 il: 22 Ott 2016, 18:10:12 »
pare che nell'aggiornamento 3.6.4 oltre alla patch di sicurezza sarà integrata anche la correzione al problema del login con la Verifica in due passaggi

Offline miao

  • Appassionato
  • ***
  • Post: 569
    • Mostra profilo
Re:Annunciato l'arrivo di un aggiornamento di sicurezza per Joomla!
« Risposta #8 il: 23 Ott 2016, 14:21:46 »
Ciao
La domanda che mi viene da fare è
la falla è nata con 3.6.3  o già c'era con 3.6.2?
 :( :(
saluti




Offline jeckodevelopment

  • Administrator
  • Instancabile
  • *****
  • Post: 5688
  • Sesso: Maschio
    • Mostra profilo
Re:Annunciato l'arrivo di un aggiornamento di sicurezza per Joomla!
« Risposta #9 il: 23 Ott 2016, 14:37:12 »
pare che nell'aggiornamento 3.6.4 oltre alla patch di sicurezza sarà integrata anche la correzione al problema del login con la Verifica in due passaggi

Confermo

Citazione
Poi non è ancora certo se la 3.6.4 conterrà la sola correzione della falla di sicurezza o se le altre correzioni slitteranno nella 3.6.5 o se saranno inserite. Essendoci così poco tempo a disposizione io suppongo che la 3.6.4 conterrà la sola patch di sicurezza, ma ne sapremo di più la prossima settimana.

La 3.6.5 non è prevista.

Offline jeckodevelopment

  • Administrator
  • Instancabile
  • *****
  • Post: 5688
  • Sesso: Maschio
    • Mostra profilo
Re:Annunciato l'arrivo di un aggiornamento di sicurezza per Joomla!
« Risposta #10 il: 23 Ott 2016, 14:40:01 »
...infatti, nel titolo spero che intendano come patch la soluzione del problema che potrebbe essere ancora irrisolto.
Non vorrei credere che qualcuno avrà la patch e qualcuno dovrà attendere il rilascio...

Il rilascio avverrà martedì. Chi "sta dentro" conosce il bug e sa anche come è stato risolto... stesso si può dire di te, sono sicuro che sai già quale sia il problema e sai già che contromisure si adottano :P

Offline MariaElenaBoschi

  • Appassionato
  • ***
  • Post: 469
    • Mostra profilo
Re:Annunciato l'arrivo di un aggiornamento di sicurezza per Joomla!
« Risposta #11 il: 23 Ott 2016, 15:19:16 »
:) no, stavolta no perchè non ho avuto molto tempo per spulciare il codice, mi stavo interessando a quella che coinvolge php 5.6 e 7 fino a Version 7.0.12 (il solito unserialize solo che è un po' più complicato sfruttarla) e l'altra nelle .jpg2000.
mancano 2 giorni alla mia prematura dipartita, saluti a tutti, meb.

Offline alexred

  • Fuori controllo
  • *
  • Post: 25672
  • Sesso: Maschio
  • Esperto in ozio relaxed
    • Mostra profilo
Re:Annunciato l'arrivo di un aggiornamento di sicurezza per Joomla!
« Risposta #12 il: 23 Ott 2016, 15:37:04 »
la falla è nata con 3.6.3  o già c'era con 3.6.2?
Ciao miao,
no, la falla non è nata con la 3.6.3 ma non è chiaro fino a quali versioni siano coinvolte.

Offline MariaElenaBoschi

  • Appassionato
  • ***
  • Post: 469
    • Mostra profilo
« Ultima modifica: 26 Ott 2016, 20:43:23 da MariaElenaBoschi »
mancano 2 giorni alla mia prematura dipartita, saluti a tutti, meb.

Offline MariaElenaBoschi

  • Appassionato
  • ***
  • Post: 469
    • Mostra profilo
Re:Annunciato l'arrivo di un aggiornamento di sicurezza per Joomla!
« Risposta #14 il: 27 Ott 2016, 20:41:46 »
https://www.joomla.org/announcements/release-news/5679-revised-assessment-of-3-6-4-security-release.html

As part of our post-release review process for the 3.6.4 release, the Joomla! Security Strike Team has identified and confirmed an additional side effect of the issue resolved in security advisory 20161002 (CVE-2016-8869) and as such we have revised our assessment of this issue.

As stated in the advisory, the incorrect use of unfiltered data in Joomla! 3.4.4 through 3.6.3 allowed a malicious user to register on a website with elevated privileges. Through this same attack vector, we have additionally confirmed that it was possible under some circumstances to overwrite an existing user’s account data with a spoofed request.
Although the issue relies on an earlier exploit which has already been resolved in the 3.6.4 release, security advisory 20161003 was published for this issue.
Updating to Joomla! 3.6.4 ensures this vulnerability has been patched and there is nothing further that you need to do.

Inoltre oggi è stata aggiunta nei principali database di vulnerabilità quindi nei prossimi giorni aspettatevi di vedervi portato via il sito se non aggiornate.
« Ultima modifica: 27 Ott 2016, 20:56:10 da MariaElenaBoschi »
mancano 2 giorni alla mia prematura dipartita, saluti a tutti, meb.

 

Host

Torna su