Bollettino CMS Maggio 2017

Dettagli: Pubblicato: Giovedì, 08 Giugno 2017 15:11; Scritto da Riccardo Gallazzi

Disponibile WordPress 4.7.5 - Security and Maintenance Release
In attesa del rilascio della versione 4.8, prevista per inizio giugno, WordPress rilascia la versione 4.7.5.
Questa è una “Security and Maintenance Release” che non introduce nuove funzioni ma corregge problemi legati alla sicurezza e alle prestazioni del CMS più usato al mondo.
In particolare sono sistemati questi 6 problemi, oltre a 4 fix legati alle prestazioni:

Validazione del redirect HTTP insufficiente
Gestione impropria dei valori metadata dei post nelle API XML-RPC
Mancanza di controllo per i metadata dei post nelle API XML-RPC
Vulnerabilità Cross Site Request Forgery (CRSF) legata al filesystem.
Vunlerabilità Cross-Site Scripting (XSS) quando si caricano file grandi.
Vulnerabilità Cross-Site Scripting (XSS) associata al Customizer.

L’update è disponibile direttamente nella dashboard di controllo.

Disponibile Joomla 3.7.2
È disponibile Joomla 3.7.2, pubblicata a pochi giorni di distanza dalla versione 3.7.1 che contiene un importante fix relativo a vulnerabilità SQL Injection.
Non sono introdotte nuove funzioni, vengono risolti piccoli bug e sono stati apportati miglioramenti al funzionamento generale di Joomla.

L’aggiornamento è disponibile nella dashboard di amministrazione.

MariaDB riceve finanziamenti dall’Unione Europea
MariaDB, il popolare database open soure nato come fork di MySQL e spesso usato come negli stack LAMP sfruttati dai CMS, riceverà 25 milioni di euro dall’Unione Europea sotto forma di finanziamenti della European Investment Bank (EIB) nell’ambito del cosidetto Piano Juncker.
Lo European Fund for Strategic Investments (EFSI, Fondo Europeo per gli Investimenti Strategici) fa parte del Piano Juncker ed è uno dei pilastri che costituisce una garanzia first loss; il Piano Juncker ha l’ambizioso obiettivo di creare posti di lavoro usando intelligentemente le risorse finanziarie disponibili, eliminando ostacoli e garantendo visibilità e assistenza tecnica a progetti europei.
MariaDB, che ha uffici a Helsinki, Finlandia (città dove è stata fondata l’associazione), è uno dei più importanti player del settore database open source, con concorrenti come MySQL, PostgreSQL e MongoDB; il settore è in continua crescita con previsioni positive da parte di IDC (mercato da 50 miliardi di dollari nel 2017 contro i 40 del 2015) e Gartner (più del 70% di nuove applicazioni basate su database opensource e conversione del 50% da database proprietari a opensource). Secondo DB-engines, i database opensource sono usati nel 46% dei casi.

PrestaShop 1.7.1.0 è ora disponibile
PrestaShop, il popolare CMS di eCommerce, giunge alla versione 1.7.1.0.
Tra le novità introdotte segnaliamo supporto a nuovi moduli (modulo Migliori vendite, modulo Nuovi prodotti, modulo Cross-selling, modulo Paypal) oltre alla reintroduzione del pulsante “upgrade all modules”, una navigazione del back-end office da mobile migliorata e l’importante modulo per il pagamento con PayPal. Completano la nuova versione miglioramenti delle traduzioni, prestazioni e collegamenti nelle pagine dei prodotti.
L’aggiornamento è disponibile tramite il modulo 1-Click Update.

Sono disponibili importanti aggiornamenti di sicurezza per Magento
Sono disponibili degli aggiornamenti di sicurezza per Magento 2.0.14 e 2.1.7. Magento consiglia di eseguire l’update del sistema il prima possibile.
Tra le vulnerabilità più critiche che sono sistemate segnaliamo Remote Code Execution (RCE) nel pannello di amministrazione, nel caricamento di video e in Zend Mail, leak dell’hash della password dei clienti quando si modificano le informazioni da admin, una possibile RCE nell’invio di reminder via email, Cross-Site Scripting (XSS) nel pannello admin, API vulnerabili Cross-Site Request Forgery (CSRF) e vulnerabilità nelle librerie JavaScript.
MasterCard ha aggiunto recentemente una nuova serie di Bank Identification Numbers (BIN).
Alcune versioni di Magento supportano già i nuovi BIN, ma chi usa le edizioni Enterprise 2.1.2 o minore, Enterprise 2.0.x, Enterprise 1.14.2.x e Community 1.9.2.x devono applicare la patch o aggiornare il sistema entro il 30 Giugno 2017, pena sanzioni da parte di MasterCard. Ulteriori informazioni sono disponibili a questo indirizzo.

Magento invita ad aggiornare il sistema il prima possibile.

L'autore

Riccardo Gallazzi

Sistemista JR, tra i suoi campi di interesse maggiori si annoverano virtualizzazione con vSphere e Proxmox e gestione ambienti Linux. È certificato VMware VCA for Data Center Virtualization.