WordPres 4.7.3 è disponibile ora.

Questa è una release “Security & Maintenance” che non introduce nuovi elementi o funzioni ma bensì risolve bug e corregge problemi presenti nelle versioni precedenti. In quanto corregge situazioni relative alla sicurezza, si raccomanda un aggiornamento tempestivo.

Nelle versioni precedenti erano presenti 6 grandi problemi che sono stati completamente risolti:

Cross-site scripting (XSS) via media file metadata. Scoperto da Chris Andrè Dale, Yorick Koster, e Simon P. Briggs.
I caratteri di controllo possono ingannare la validazione su redirect URL. Scoperto da Daniel Chatfield.
Alcuni file vengono cancellati involontariamente dagli admin usando il plugin dedicato. Scoperto da TrigInc e xuliang.
Cross-site scripting (XSS) via video URL nei video YouTube incorporati. Scoperto da Marc Montpas.
Cross-site scripting (XSS) via nomi dei termini della tassonomia. Scoperto da Delta.
Cross-site request forgery (CSRF) in Press This che risulta in un uso eccessivo di risorse lato server. Scoperto da Sipke Mellema.
L’aggiornamento è disponibile direttamente nella dashboard di amministrazione del proprio sito WordPress tramite banner “Upgrade Now”, oppure può essere eseguito manualmente a partire dai file presenti a questo indirizzo.
Chi ha attiva l’opzione di aggiornamento automatico, vedrà il sistema aggiornato a breve.

Identificata vulnerabilità in Magento che permette attacchi CSRF

È stata identificata una vulnerabilità in Magento Community Edition (2.1.6 e più vecchie) che permette l’esecuzione di codice remoto sfruttando anche una tecnica di Cross Site Request Forgery (CSRF). A dare la notizia è DefenseCode in questo documento dopo un’attività di auditing eseguita sulla versione Community Edition; non è stata testata la versione Enterprise, ma dal momento che condividono gran parte del codice è lecito attendersi che anche questa versione si affetta dalla vulnerabilità.
La vulnerabilità si basa sull’opzione che consente agli amministratori di aggiungere dei video Vimeo alla descrizione del prodotto; in questo caso il sistema recupera un’immagine di anteprima tramite richiesta POST che accetta come parametro la URL dell’immagine.
La richiesta può essere cambiata a GET, e se la URL punta a un file immagine non valido, come un file PHP, il sistema ritorna un errore, tuttavia scaricando il file e non cancellandolo se la validazione fallisce.

Le informazioni dell’immagine sono analizzate e salvate in una directory seguendo uno schema ben preciso (il modello è /pub/media/tmp/catalog/product/<X>/<Y>/<original filename>, dove il percorso da creare dipende dal nome dell’immagine. Ad esempio con picture.jpg viene creato il percorso /p/i/picture.jpg).
A questo punto vengono scaricati due file: uno è il file .htaccess che abilita l’esecuzione di codice PHP nella directory, l’altro è lo script PHP da eseguire.

Uno scenario d’attacco tipico vede un hacker avere come obiettivo un’utenza Magento con accesso al pannello amministrativo (può non essere un admin completo) tramite una email che punta ad una URL che inizia l’attacco CSRF.
Viene consigliato di abilitare l’opzione “Add Secret Keys to URLs” per mitigare gli attacchi CSRF, che si abilita in Stores > Configuration > ADVANCED > Admin > Security > Add Secret Key to URLs.
Inoltre nelle subdirectory di /pub/media/tmp/catalog/product/ dovrebbe essere disabilitato l’uso di file .htacces.

Gli sviluppatori Magento assicurano che la vulnerabilità verrà definitivamente riparata con la prossima release del CMS.

L'autore

Riccardo Gallazzi

Sistemista JR, tra i suoi campi di interesse maggiori si annoverano virtualizzazione con vSphere e Proxmox e gestione ambienti Linux. È certificato VMware VCA for Data Center Virtualization.

banner5

fb icon evo twitter icon evo

Parola del giorno

L'acronimo IPsec (InternetProtocol security) indica un set di protocolli che forniscono sicurezza per il protocollo IP, ad esempio aggiungendo opzioni di...

>

Il termine ISP (Internet Service Provider) indica quelle compagnie o aziende che forniscono la connettività internet agli utenti. Esistono diverse tecnologie...

>

Il termine Load Balancing o Bilanciamento di Carico descrive tutte quelle tecniche utili a distribuire in modo dinamico il carico computazionale...

>

Il termine NsLookup indica uno strumento incluso nella maggior parte dei sistemi operativi, in grado di effettuare il look up...

>

Nel contesto delle infrastrutture IT, il termine Consolidamento descrive la situazione in cui un server fisico viene utilizzato per fare girare...

>
Leggi anche le altre...

Download del giorno

DNS DataView

DNS Lookup  è un tool a interfaccia grafica per effettuare il lookup DNS dal proprio PC, sfruttando i...

>

Network Inventory Advisor

Network Inventory Advisor  è uno strumento che permette di scansionare la rete e acquisire informazioni riguardanti tutti i...

>

Process Monitor

Process Monitor è uno strumento per il monitoraggio in tempo reale dei processi attivi nel sistema. Permette una interazione...

>

DiskMon

DiskMon è un utile strumento per monitorare e registrare tutte le attività di I/O sul disco di sistemi Windows...

>

Disk2vhd

Disk2vhd è una utiliy gratuita per la migrazione P2V (phisical to virtual) in ambiente virtuale Hyper-V. Permette di convertire...

>
Tutti i Download del giorno...

Archivio numeri

  • GURU advisor: numero 16 - ottobre 2017

  • GURU advisor: numero 17 - gennaio 2018

  • GURU advisor: numero 15 - luglio 2017

    GURU advisor: numero 15 - luglio 2017

  • GURU advisor: numero 14 - maggio 2017

    GURU advisor: numero 14 - maggio 2017

  • GURU advisor: numero 13 -  marzo 2017

    GURU advisor: numero 13 - marzo 2017

  • GURU advisor: numero 12 -  gennaio 2017

    GURU advisor: numero 12 - gennaio 2017

  • GURU advisor: numero 11 -  ottobre 2016

    GURU advisor: numero 11 - ottobre 2016

  • GURU advisor: numero 10 - 8 agosto 2016

    GURU advisor: numero 10 - 8 agosto 2016

  • 1
  • 2
  • 3
  • Teslacrypt: rilasciata la chiave

    Gli sviluppatori del temuto ransomware TeslaCrypt hanno deciso di terminare il progetto di diffusione e sviluppo e consegnare al pubblico la chiave universale per decifrare i file. Read More
  • Proxmox 4.1 sfida vSphere

    Proxmox VE (da qui in avanti semplicemente Proxmox) è basato sul sistema operativo Debian e porta con sé vantaggi e svantaggi di questa nota distribuzione Linux: un sistema operativo stabile, sicuro, diffuso e ben collaudato. Read More
  • Malware: risvolti legali

    tutti i virus e in particolare i più recenti Ransomware, che rubano i vostri dati e vi chiedono un riscatto, violano la legge. Vediamo insieme come comportarsi, per capire anche se e quando bisogna sporgere denuncia. Read More
  • 1