CMS

Joomla 3.8.3 è ora disponibile
La versione 3.8.3 di Joomla è ora disponibile.
Questa è una security release che non introduce nuove funzioni, bensì vengono risolti piccoli bug e sono stati apportati miglioramenti al funzionamento generale di Joomla.
In particolare è stato aggiunto il supporto alla nuova release di PHP 7.2, è stato aggiornato TinyMCE, c’è il supporto per il il download da sorgenti multiple durante l’aggiornamento, vengono migliorate le prestazioni di ricerca nel caso di siti grandi e ci sono dei miglioramenti nel supporto multilingua. La lista completa dei bug fix è resente a questo indirizzo.
La nuova versione è disponibile per il download nella dashboard di amministrazione o a questo indirizzo

Nel frattempo, è disponibile la versione Alphala versione Alpha 1 di Joomla 4.0. Questa versione di prova mette a disposizione in anteprima le novità della prossima release di Joomla: nuovi template basati su Bootstrap 4, rimozione delle funzioni obsolete, wizard di installazione rinnovato, integrazione dei pacchetti Joomla Framework e una Application for Consoles rinnovata.

WordPress 4.9 è ora disponibile
WordPress 4.9 è ora disponibile.
La nuova release, soprannominata “Tipton”, introduce diverse novità, tra cui: un Customizer con nuove funzioni, miglioramenti al codice di sistema, nuovi widget (tra cui quello relativo ad una gallery), e diverse novità lato sviluppatori come customizer API JavaScript migliorato, CodeMirror (una nuova libreria per la revisione del codice), MediaElement.js aggiornato alla versione 4.2.6 e miglioramenti nella gestione di plugin e file di traduzione.
La nuova versione è disponibile nella dashboard di amministrazione o a questo indirizzo.

È disponibile anche la versione 4.9.1, che è una Security Release, non introduce nuove funzioni ma risolve problemi di sicurezza, nella fattispecie: creazione di un hash corretto per la chiave ‘newbloguser’, aggiunta di escaping nell’attributo della lingua degli elementi html, verifica corretto escaping nei feed Atom e RSS, rimozione possibilità di caricare file JavaScript per utenti senza attributo unfiltered_html; inoltre sono stati risolti bug relativi a caching dei file dei temi, errore MediaElement JS che impediva ad utenti con determinate impostazioni di lingua di caricare file media e impossibilità di modificare temi e plugin su server Windows. 

Ulteriori informazioni riguardo questa versione sono disponibili a questo indirizzo

Keylogger trovato su più di 5.000 siti WordPress

Più di 5.000 siti WordPress contengono un malware riconducibile al dominio cloudflare.solutions, che non è in nessun genere affiliato a CloudFlare, come riporta Sucuri in questo articolo.
Il malware contiene sia un keylogger che registra le sequenze di tasti premuti (incluse credenziali di accesso e dati della carta di credito nel caso di eCommerce), sia uno script JavaScript (CoinHive) che esegue il mining di crypto-valute sfruttando le risorse del computer del visitatore.
Come rimedio, Sucuri consiglia di controllare il file functions.php del tema utilizzato ed eliminare la funzione add_js_scripts ogni riferimento a add_js_scripts presente nelle voci add_action, e cambiare ogni credenziale di accesso al sito.

Disponibili aggiornamenti per Magento
Magento, che nel frattempo ha eseguito il rebranding dei suoi due prodotti (Magento Community Edition diventa Magento Open Source e Magento Enterprise Edition diventa Magento Commerce), ha rilasciato aggiornamenti per le versioni Magento Commerce 1.14.3.7, Magento Open Source 1.9.3.7 e SUPEE-10415 (patch per le versioni di Magento 1.x e precedenti) che risolvono vulnerabilità legate a Cross-site Request Forgery (CSRF), Denial-of-Service (DoS) e Remote Code Execution per gli utenti Admin autenticati. Ulteriori informazioni, incluse le modalità di aggiornamento, sono disponibili a questo indirizzo

Magento inoltre mette a disposizione lo strumento Security Scan per le versioni Commerce (ex Enterprise Edition) ed Open Source (la vecchia Community Edition) che esegue analisi in tempo reale e suggerisce rimedi per i problemi legati alla sicurezza del proprio sito, mentre al settore B2B dedica il libro “B2B Commerce Best Practices” e il Magento B2B Resource Hub, un contenitore con strategie, tattiche, consigli e suggerimenti a tema.

PHP 7.2.0 è ora disponibile
È disponibile la nuova release di PHP, la 7.2.0.
Le novità di questa versione includono la conversione di chiavi numeriche in cast di oggetti/array, numerazione di oggetti non-countable, HashContext come Oggetto, l’algoritmo di cifratura password Argon2, miglioramento delle costanti TLS, rimozione dell’estensione Mcrypt e aggiunta di una nuova estensione sodium. Una lista completa delle novità e dei bug fix è contenuta nel changelog presente a questo indirizzo

bbPress per WordPress è vulnerabile ad attacchi SQL Injection
Sucuri, con un post dettagliatoinforma che il plugin bbPress per WordPress è vulnerabile ad attacchi di tipo SQL Injection. 

bbPress è un plugin che trasforma un blog WordPress in un forum, e attualmente conta più 300.000 installazioni; la vulnerabilità è dovuta ad un errato uso della classe di astrazione database, come già successo con il plugin Nextend Gallery.
Attualmente la vunlerabilità è risolta aggiornando WordPress, tuttavia bbPress non ha ancora rilasciato una patch o una versione aggiornata del plugin, stando alle note di rilascio. Sucuri aveva notificato gli sviluppatori della vulnerabilità già lo scorso marzo, la disclosure dei dettagli è disponibile a questo indirizzo.

WordFence trova vulnerabilità nei plugin Formidable Forms, Duplicator e Yoast SEO per WordPress
WordFence, che a seguito di un’operazione di rebranding si chiama Defiant, ha individuato delle vulnerabilità in alcune versioni di plugin popolari per WordPress.
In particolare, Formidable Forms 2.05.02 e precedenti contengono problemi che permettono l’esecuzione di SQL Injection, Cross Site Scripting, Remote Code Execution, Duplicator 1.2.28 e precedenti e Yoast SEO 5.7.1 e precedenti possono essere soggetti a Cross Site Scripting.
Sono disponibili aggiornamenti per ciascun plugin che risolvono le vulnerabilità.

L'autore

Riccardo Gallazzi

Sistemista JR, tra i suoi campi di interesse maggiori si annoverano virtualizzazione con vSphere e Proxmox e gestione ambienti Linux. È certificato VMware VCA for Data Center Virtualization.

banner5

fb icon evo twitter icon evo

Parola del giorno

ALOHA è un protocollo di rete sviluppato dalla università delle Hawaii nel 1971 come prima dimostrazione del funzionamento di reti wireless...

>

L'acronimo LTSC (Long Term Servicing Channel), riferito al mondo Microsoft, caratterizza i prodotti server che vengono acompagnati da una politica...

>

L'acronimo SAC (Semi Annual Channel), riferito al mondo Microsoft, caratterizza i prodotti server che vengono acompagnati da una politica di...

>

Project Honolulu è la nuova piattaforma Web (basata su HTML 5) per la gestione centralizzata di host e cluster in...

>

L'acronimo WSL (Windows Subsystem for Linux) indica la tecnologia (un insieme di componenti software) introdotta da Microsoft che permette di eseguire comandi Linux...

>
Leggi anche le altre...

Download del giorno

Fiddler

Fiddler è un server proxy che può girare in locale per consentire il debug delle applicazioni e il...

>

Adapter Watch

Adapter Watch è uno strumento che permette di visualizzare un riepilogo completo e dettagliato delle informazioni riguardanti una determinata...

>

DNS DataView

DNS Lookup  è un tool a interfaccia grafica per effettuare il lookup DNS dal proprio PC, sfruttando i...

>

SolarWinds Traceroute NG

SolarWinds Traceroute NG è un tool a linea di comando per effettuare traceroute avanzati in ambiente Windows...

>

Network Inventory Advisor

Network Inventory Advisor  è uno strumento che permette di scansionare la rete e acquisire informazioni riguardanti tutti i...

>
Tutti i Download del giorno...

Archivio numeri

  • GURU advisor: numero 19 - luglio 2018

    GURU advisor: numero 19 - luglio 2018

  • GURU advisor: numero 18 - aprile 2018

    GURU advisor: numero 18 - aprile 2018

  • GURU advisor: numero 17 - gennaio 2018

    GURU advisor: numero 17 - gennaio 2018

  • GURU advisor: numero 16 - ottobre 2017

    GURU advisor: numero 16 - ottobre 2017

  • GURU advisor: numero 15 - luglio 2017

    GURU advisor: numero 15 - luglio 2017

  • GURU advisor: numero 14 - maggio 2017

    GURU advisor: numero 14 - maggio 2017

  • GURU advisor: numero 13 -  marzo 2017

    GURU advisor: numero 13 - marzo 2017

  • GURU advisor: numero 12 -  gennaio 2017

    GURU advisor: numero 12 - gennaio 2017

  • 1
  • 2
  • 3
  • Teslacrypt: rilasciata la chiave

    Gli sviluppatori del temuto ransomware TeslaCrypt hanno deciso di terminare il progetto di diffusione e sviluppo e consegnare al pubblico la chiave universale per decifrare i file. Read More
  • Proxmox 4.1 sfida vSphere

    Proxmox VE (da qui in avanti semplicemente Proxmox) è basato sul sistema operativo Debian e porta con sé vantaggi e svantaggi di questa nota distribuzione Linux: un sistema operativo stabile, sicuro, diffuso e ben collaudato. Read More
  • Malware: risvolti legali

    tutti i virus e in particolare i più recenti Ransomware, che rubano i vostri dati e vi chiedono un riscatto, violano la legge. Vediamo insieme come comportarsi, per capire anche se e quando bisogna sporgere denuncia. Read More
  • 1