Autore Topic: ATTENZIONE!!! Nuova versione di Joomla 1.5.6 risolve falla di sicurezza.  (Letto 115508 volte)

Offline = odino =

  • Instancabile
  • ******
  • Post: 5696
  • Sesso: Maschio
  • "In realtà li trasforma in menomati" Danzel
    • Mostra profilo
Certo, hai ragione Odino.. il tuo ragionamento non fa una piega.

Purtroppo sono molti quelli che lasciano le cose così come stanno, lo dimostra il fatto che diversi utenti sono stati colpiti.  :-\

bene...ora tutti a tentare di entrare sul blog di Flavio  :D

ops...'azz è wordpress  ;D

maledetti hacker......fan cazzisti......

tengo a precisare sull terminologia:

se vi entrano e vi devastano il sito non sono hacker, ma stupidi cracker.

Un hacker se vi entra dentro un sito vi fa un favore  :)  non vi getta nello scompiglio, ma vi fa capire dove e come è possibile accedere

Offline Walter Ego

  • Appassionato
  • ***
  • Post: 532
    • Mostra profilo
scusatemi ragazzi ma non c'è nessuno di voi che sta testando il sito su joomlatests.com?

Io l'ho scoperto tramite questo sito e mi sembra che un po' di utenti utilizzavano questo hosting. Se c'è qualcuno mi può dire se è riuscito a mettersi in contatto con chi gestisce il servizio?

Io non posso completare l'aggiornamento e ho il sito bloccato  :'(

grazie

Offline Bigne Erosivo

  • Esploratore
  • **
  • Post: 84
    • Mostra profilo
Sentite, io ho una 1.5.2, almeno così trovo scritto nell'admin in alto a destra, che non ho fatto in tempo ad italianizzare.
Che faccio? Scarico il pacchetto 'Aggiornamento da Joomla 1.5.2 a Joomla 1.5.6 - ita' anche se io ho il sito in inglese o devo trovare qualche altro file?

Salutoni e grazie!

Bignè Erosivo
« Ultima modifica: 14 Ago 2008, 06:07:53 da Bigne Erosivo »
Bignè Erosivo

Offline ang.celli

  • Nuovo arrivato
  • *
  • Post: 3
    • Mostra profilo
Buongiorno a tutti, ho aggiornato il sito come da istruzioni con filezilla tutti i file vengono sovrascritti ma quando entro nell'amministrazione del sito in alto a destra mi riporta versione 1.5.5 sbaglio qualcosa ?

Grazie ed un saluto

Ho risolto ho dovuto sovrascrivere per le cartelle libraries e modules i file singolarmente, per le altre cartelle da un controllo fatto tra le date dei file tutti somno stati sovrascritti, non so se questo é successo soltanto a me e se può servire ad altri.

Saluti   
« Ultima modifica: 14 Ago 2008, 08:20:25 da ang.celli »

Offline exportquality

  • Appassionato
  • ***
  • Post: 206
    • Mostra profilo
maledetti hacker......fan cazzisti......
Complimenti a joomla...Per la sua velocita di aggiornamenti,ottimo lavoro continuate cosi!


Al contrario, penso che mentre gli hacker (o cracker o forse ancora meglio script kiddies) abbiano fatto il loro devastante dovere di indicarci la falla, concordo con copesc nel vedere un lavoro approssimativo del dev team circa la sicurezza (che in un CMS è requisito primario). Bruttissima figura che potrebbe costare al nostro CMS i PACKT award.

Comunque sia gli hacker/cracker/s.kiddies mi sono sembrati iperattivi altro che fancazzisti! ;)





Inoltre volevo segnalare, per chi non volesse/potesse upgradare ma desidera mettersi in sicurezza come patchare il componente cui si deve l'exploit:

1) aprire /components/com_user/models/reset.php
2) dopo la linea 113 "global $mainframe;" aggiungere:
Codice: [Seleziona]
if(strlen($token) != 32) {
$this->setError(JText::_('INVALID_TOKEN'));
return false;
}

E si è in sicurezza pure con la 1.5.0 :)


fonte:http://developer.joomla.org/security/news/241-20080801-core-password-remind-functionality.html
http://it.wikipedia.org/wiki/RTFM

Gli MP tecnici verranno ignorati. Condividiamo problemi e soluzioni!

Offline 56francesco

  • Fuori controllo
  • *
  • Post: 29585
  • Sesso: Maschio
    • Mostra profilo

ti faccio un esempio:
libraries\joomla\database\table.php


con da 1.5.5 a 1.5.6 due diversi files  non volevano trasferisi solo in un sito su 8, ma ripescando il trasferimento  alla fine sono passati...
filezilla sotto segnala i files che non vanno a buon fine e permette di ripescarli..
(uso XP perchè win98 non si installa) 
PS: non sono un dipendente dello sbonzor quindi è necessario un "per favore" alla richiesta e un "grazie" alla risposta, sempre! PPS: non scrivo mai per primo in MP, in caso contrario chiedimi una conferma, Grazie.

Offline alexred

  • Fuori controllo
  • *
  • Post: 25672
  • Sesso: Maschio
  • Esperto in ozio relaxed
    • Mostra profilo
Sentite, io ho una 1.5.2, almeno così trovo scritto nell'admin in alto a destra, che non ho fatto in tempo ad italianizzare.
Che faccio? Scarico il pacchetto 'Aggiornamento da Joomla 1.5.2 a Joomla 1.5.6 - ita' anche se io ho il sito in inglese o devo trovare qualche altro file?

Salutoni e grazie!

Bignè Erosivo
Ciao Bigne Erosivo,
si puoi usare i pacchetti di aggiornamento Italiani oppure scaricare quelli inglesi:
http://joomlacode.org/gf/project/joomla/frs/?action=FrsReleaseBrowse&frs_package_id=3883

Offline tekoteo

  • Nuovo arrivato
  • *
  • Post: 18
    • Mostra profilo
DOMANDONA su questa falla e per evitare altri inconvenienti
« Risposta #67 il: 14 Ago 2008, 10:27:57 »
... una domandona.... ormai è stabilito che cambiando l'utente admin con un'altro la cosa sarebbe stato più complesso far accedere al proprio sito.... ma se la cartella administrator fosse stata protetta dal file htaccess o da analoghe regole sulla configurazione di apache (richiesta di ulteriore utente e password per accedere a tale cartella)?    Avrebbe forse evitato qualche problema o no???  :o
Sicuramente non avrebbe impedito il reset della password, ma avrebbe inibito il collegamento al pannello di controllo... giusto??
Bye


Offline copesc

  • Appassionato
  • ***
  • Post: 500
    • Mostra profilo
@tekoteo: certamente, il cracker per accedere al sito avrebbe dovuto collegarsi al pannello di amministratore, ma essendoci la protezione.. nada.  ;)
Extensioni e Template per Joomla

Offline filpi5481

  • Global Moderator
  • Instancabile
  • ********
  • Post: 4106
  • Sesso: Maschio
  • NO MP TECNICI
    • Mostra profilo
sto aggiornando tutti quanti  i siti.

che falla  ;D
Volete sapere tutto sul nuovo iPad di Apple? iPad Forum Italia
Global moderator Joomla.it

Offline Alucard82

  • Esploratore
  • **
  • Post: 64
    • Mostra profilo
scusate ho scaricato il seguente file di aggiornamento dalla 1.5.3 alla 1.5.6 (Joomla_1.5.3_to_1.5.6-Stable-Patch_Package_ita.zip), ma stranamente il file è di 2.8mb...mi sembra un pò troppo per una patch di aggiornamento (da 1.5.5 a 1.5.6 è di 300kb circa) ed inoltre ho notato che all'interno c'è anke un file install.php e questo mi è sembrato un pò strano perchè negli altri aggiornamenti ho sempre trovato solo pochi file da sovrascrivere. Vi volevo chiedere se è una cosa normale e se posso procedere con l'aggiornamento!
Grazie a tutti
(ho visto ke anke da 1.5.2 a 1.5.6 il file è parekkio grosso...booooohhhhhhh  ???)

Offline tekoteo

  • Nuovo arrivato
  • *
  • Post: 18
    • Mostra profilo
@tekoteo: certamente, il cracker per accedere al sito avrebbe dovuto collegarsi al pannello di amministratore, ma essendoci la protezione.. nada.  ;)

Ecco.... dato che ho visto un tot di tentativi di accedere alla mia administrator falliti, probabilmente verificavano se era il caso di agire o no.... nel senso che non ho avuto alcun cambio di password.... (o forse si sono commossi per il mio sito che effettivamente fa un po' pena... ;D)

Offline filpi5481

  • Global Moderator
  • Instancabile
  • ********
  • Post: 4106
  • Sesso: Maschio
  • NO MP TECNICI
    • Mostra profilo
ciao ragazzi.

vi scrivo dalle ferie (che sono quasi finite  :'() per un problema dopo l'aggiornamento.

quando vado ad inserire un nuovo articolo ricevo questo errore:

Warning: Missing argument 7 for ContentView::editContent(), called in /home/XXXXXX/domains/XXXXXX/public_html/administrator/components/com_content/controller.php on line 572 and defined in /home/XXXXX/domains/XXXXX/public_html/administrator/components/com_content/admin.content.html.php on line 435

purtroppo non ho avuto tempo di vedere a fondo il problema, se qualcuno ha avuto lo stesso problema e ha risolto me lo può far sapere (leggerò la risposta da casa  ;D9

ciao
filpi
Volete sapere tutto sul nuovo iPad di Apple? iPad Forum Italia
Global moderator Joomla.it

Offline copesc

  • Appassionato
  • ***
  • Post: 500
    • Mostra profilo
Extensioni e Template per Joomla

Offline Alucard82

  • Esploratore
  • **
  • Post: 64
    • Mostra profilo
scusate ho scaricato il seguente file di aggiornamento dalla 1.5.3 alla 1.5.6 (Joomla_1.5.3_to_1.5.6-Stable-Patch_Package_ita.zip), ma stranamente il file è di 2.8mb...mi sembra un pò troppo per una patch di aggiornamento (da 1.5.5 a 1.5.6 è di 300kb circa) ed inoltre ho notato che all'interno c'è anke un file install.php e questo mi è sembrato un pò strano perchè negli altri aggiornamenti ho sempre trovato solo pochi file da sovrascrivere. Vi volevo chiedere se è una cosa normale e se posso procedere con l'aggiornamento!
Grazie a tutti
(ho visto ke anke da 1.5.2 a 1.5.6 il file è parekkio grosso...booooohhhhhhh  ???)

Nessuno mi sa aiutare????

Offline alexred

  • Fuori controllo
  • *
  • Post: 25672
  • Sesso: Maschio
  • Esperto in ozio relaxed
    • Mostra profilo
di quale aiuto hai bisogno ?
Il file è quello.

Offline LoganCale

  • Nuovo arrivato
  • *
  • Post: 30
  • Sesso: Maschio
  • IT
    • Mostra profilo
A me con la mia solita fortuna, non funziona più l'editor per l'invio di notizie, o meglio, mi visualizza una bella pagina bianca priva di stili css e di editor con una casella di testo e stop...


Offline alexred

  • Fuori controllo
  • *
  • Post: 25672
  • Sesso: Maschio
  • Esperto in ozio relaxed
    • Mostra profilo
Ciao LoganCale,
ma in Configurazione globale che sia impostato Editor WYSIWYG predefinito e controlla anche nelle caratteristiche del tuo utente con cui accedi all'amministrazione che sia attivo l'editor.

Offline sali40

  • Global Moderator
  • Instancabile
  • ********
  • Post: 4791
  • Sesso: Maschio
    • Mostra profilo
Ragazzi, guardate cosa ho trovato in rete:
Wed 13 Aug 2008
   
How Joomla 1.5.6 came about
User Rating: / 29
PoorBest
Coordinator Blog
Written by Anthony Ferrara   

As most of you know, a critical security vulnerability affecting all Joomla versions below (and including) 1.5.5 was discovered on Tuesday, August 12th 2008.  What most of you don't know, is what went on behind the scenes that day.  A whole mass of people came together and immediately worked on all the tasks necessary to make 1.5.6 happen.   Experiencing this first hand was quite amazing...  Publishing a release is a process that normally has two weeks (and a team of people) devoted to it (for everything from selecting which remaining artifacts will be fixed, to translations, to clicking publish and everything in-between).  This all happened in a VERY short time.

Here's an abridged breakdown of how 1.5.6 came to be...
15:50 EST

Bug Squad member Marijke Stuivenberg points the squad to a reported vulnerability in Joomla 1.5.5.
15:55 EST

Bug Squad members Jennifer Mariott, Elin Waring, and Marijke (along with development coordinator Wilco Jansen, OSM Vice President Rob Schley and myself) verify that the vulnerability exists and the report is valid.
15:56 EST

All available development Work Group members, Bug Squad members and Core Team members are notified of the issue.

Bug Squad confirms that 1.5's SVN is stable and is ready for immediate release pending vulnerability fix.

Forum moderators are informed of and asked to remove references of this issue until release.
16:05 EST

Patch is generated and provided to Bug Squad for testing/confirmation of fix.
16:20 EST

Patch is confirmed to fix vulnerability.

Front page announcement is drafted.
16:30 EST

Patch is committed into SVN along with all preparations for release.

Joomla 1.5 branch is frozen for release cycle.  Bug Squad begins testing sanity and operation of SVN.
16:46 EST

Security announcement (on developer.joomla.org) is drafted.
17:20 EST

Front page announcement provided to translators.

Joomlacode prepared for release.
17:30 EST

Bug Squad confirms sanity of SVN and that all release preparations are in place.

Package generation begins.
17:50 EST

Full download packages generated.
18:05 EST

Packages provided to Bug Squad for validation and testing.
18:30 EST

Bug Squad confirms package sanity, final steps before release are completed.
18:40 EST

Front Page article and Developer security report published.

Full download packages released.
19:30 EST

All patch downloads tested and published.  Release cycle completed.
Conclusion

Total time from report of vulnerability to initial release: 2 hours 50 minutes

Total time from report of vulnerability to completion of release cycle completion: 3 hours 40 minutes

Total number of people directly involved: between 20 and 30

Traduco solo la parte finale:
"Tempo totale dalla segnalazione della vulnerabilità alla release iniziale: 2 ore e 50 minuti;
Tempo totale dalla segnalazione della vulnerabilità al completamento del ciclo di rilascio: 3 ore e 40 minuti;
Numero totale di persone direttamente coinvolte: tra 20 e 30"


Semplicemente stupefacente.
Non posso non esprimere un sentito "GRAZIE!!!" a queste persone.
Certo che poi Joomla! è di gran lunga il CMS più sicuro  :P

Offline technick

  • Nuovo arrivato
  • *
  • Post: 17
    • Mostra profilo

Inoltre volevo segnalare, per chi non volesse/potesse upgradare ma desidera mettersi in sicurezza come patchare il componente cui si deve l'exploit:

1) aprire /components/com_user/models/reset.php
2) dopo la linea 113 "global $mainframe;" aggiungere:
Codice: [Seleziona]
if(strlen($token) != 32) {
$this->setError(JText::_('INVALID_TOKEN'));
return false;
}

E si è in sicurezza pure con la 1.5.0 :)


fonte:http://developer.joomla.org/security/news/241-20080801-core-password-remind-functionality.html


Grazie! Io avevo effettuato modifiche a decine di file e ora mi veniva male sovrascrivere tutto. Meno male che la modifica riguarda un solo file!  :)

 

Host

Torna su