CMS
Joomla 3.8.3 è ora disponibile
La versione 3.8.3 di Joomla è ora disponibile.
Questa è una security release che non introduce nuove funzioni, bensì vengono risolti piccoli bug e sono stati apportati miglioramenti al funzionamento generale di Joomla.
In particolare è stato aggiunto il supporto alla nuova release di PHP 7.2, è stato aggiornato TinyMCE, c’è il supporto per il il download da sorgenti multiple durante l’aggiornamento, vengono migliorate le prestazioni di ricerca nel caso di siti grandi e ci sono dei miglioramenti nel supporto multilingua. La lista completa dei bug fix è resente a questo indirizzo.
La nuova versione è disponibile per il download nella dashboard di amministrazione o a questo indirizzo.
Nel frattempo, è disponibile la versione Alphala versione Alpha 1 di Joomla 4.0. Questa versione di prova mette a disposizione in anteprima le novità della prossima release di Joomla: nuovi template basati su Bootstrap 4, rimozione delle funzioni obsolete, wizard di installazione rinnovato, integrazione dei pacchetti Joomla Framework e una Application for Consoles rinnovata.
WordPress 4.9 è ora disponibile
WordPress 4.9 è ora disponibile.
La nuova release, soprannominata “Tipton”, introduce diverse novità, tra cui: un Customizer con nuove funzioni, miglioramenti al codice di sistema, nuovi widget (tra cui quello relativo ad una gallery), e diverse novità lato sviluppatori come customizer API JavaScript migliorato, CodeMirror (una nuova libreria per la revisione del codice), MediaElement.js aggiornato alla versione 4.2.6 e miglioramenti nella gestione di plugin e file di traduzione.
La nuova versione è disponibile nella dashboard di amministrazione o a questo indirizzo.
È disponibile anche la versione 4.9.1, che è una Security Release, non introduce nuove funzioni ma risolve problemi di sicurezza, nella fattispecie: creazione di un hash corretto per la chiave ‘newbloguser’, aggiunta di escaping nell’attributo della lingua degli elementi html, verifica corretto escaping nei feed Atom e RSS, rimozione possibilità di caricare file JavaScript per utenti senza attributo unfiltered_html; inoltre sono stati risolti bug relativi a caching dei file dei temi, errore MediaElement JS che impediva ad utenti con determinate impostazioni di lingua di caricare file media e impossibilità di modificare temi e plugin su server Windows.
Ulteriori informazioni riguardo questa versione sono disponibili a questo indirizzo.ù
Keylogger trovato su più di 5.000 siti WordPress
Più di 5.000 siti WordPress contengono un malware riconducibile al dominio cloudflare.solutions, che non è in nessun genere affiliato a CloudFlare, come riporta Sucuri in questo articolo.
Il malware contiene sia un keylogger che registra le sequenze di tasti premuti (incluse credenziali di accesso e dati della carta di credito nel caso di eCommerce), sia uno script JavaScript (CoinHive) che esegue il mining di crypto-valute sfruttando le risorse del computer del visitatore.
Come rimedio, Sucuri consiglia di controllare il file functions.php del tema utilizzato ed eliminare la funzione add_js_scripts ogni riferimento a add_js_scripts presente nelle voci add_action, e cambiare ogni credenziale di accesso al sito.
Disponibili aggiornamenti per Magento
Magento, che nel frattempo ha eseguito il rebranding dei suoi due prodotti (Magento Community Edition diventa Magento Open Source e Magento Enterprise Edition diventa Magento Commerce), ha rilasciato aggiornamenti per le versioni Magento Commerce 1.14.3.7, Magento Open Source 1.9.3.7 e SUPEE-10415 (patch per le versioni di Magento 1.x e precedenti) che risolvono vulnerabilità legate a Cross-site Request Forgery (CSRF), Denial-of-Service (DoS) e Remote Code Execution per gli utenti Admin autenticati. Ulteriori informazioni, incluse le modalità di aggiornamento, sono disponibili a questo indirizzo.
Magento inoltre mette a disposizione lo strumento Security Scan per le versioni Commerce (ex Enterprise Edition) ed Open Source (la vecchia Community Edition) che esegue analisi in tempo reale e suggerisce rimedi per i problemi legati alla sicurezza del proprio sito, mentre al settore B2B dedica il libro “B2B Commerce Best Practices” e il Magento B2B Resource Hub, un contenitore con strategie, tattiche, consigli e suggerimenti a tema.
PHP 7.2.0 è ora disponibile
È disponibile la nuova release di PHP, la 7.2.0.
Le novità di questa versione includono la conversione di chiavi numeriche in cast di oggetti/array, numerazione di oggetti non-countable, HashContext come Oggetto, l’algoritmo di cifratura password Argon2, miglioramento delle costanti TLS, rimozione dell’estensione Mcrypt e aggiunta di una nuova estensione sodium. Una lista completa delle novità e dei bug fix è contenuta nel changelog presente a questo indirizzo.
bbPress per WordPress è vulnerabile ad attacchi SQL Injection
Sucuri, con un post dettagliato, informa che il plugin bbPress per WordPress è vulnerabile ad attacchi di tipo SQL Injection.
bbPress è un plugin che trasforma un blog WordPress in un forum, e attualmente conta più 300.000 installazioni; la vulnerabilità è dovuta ad un errato uso della classe di astrazione database, come già successo con il plugin Nextend Gallery.
Attualmente la vunlerabilità è risolta aggiornando WordPress, tuttavia bbPress non ha ancora rilasciato una patch o una versione aggiornata del plugin, stando alle note di rilascio. Sucuri aveva notificato gli sviluppatori della vulnerabilità già lo scorso marzo, la disclosure dei dettagli è disponibile a questo indirizzo.
WordFence trova vulnerabilità nei plugin Formidable Forms, Duplicator e Yoast SEO per WordPress
WordFence, che a seguito di un’operazione di rebranding si chiama Defiant, ha individuato delle vulnerabilità in alcune versioni di plugin popolari per WordPress.
In particolare, Formidable Forms 2.05.02 e precedenti contengono problemi che permettono l’esecuzione di SQL Injection, Cross Site Scripting, Remote Code Execution, Duplicator 1.2.28 e precedenti e Yoast SEO 5.7.1 e precedenti possono essere soggetti a Cross Site Scripting.
Sono disponibili aggiornamenti per ciascun plugin che risolvono le vulnerabilità.