CMS

Joomla 3.8.3 è ora disponibile
La versione 3.8.3 di Joomla è ora disponibile.
Questa è una security release che non introduce nuove funzioni, bensì vengono risolti piccoli bug e sono stati apportati miglioramenti al funzionamento generale di Joomla.
In particolare è stato aggiunto il supporto alla nuova release di PHP 7.2, è stato aggiornato TinyMCE, c’è il supporto per il il download da sorgenti multiple durante l’aggiornamento, vengono migliorate le prestazioni di ricerca nel caso di siti grandi e ci sono dei miglioramenti nel supporto multilingua. La lista completa dei bug fix è resente a questo indirizzo.
La nuova versione è disponibile per il download nella dashboard di amministrazione o a questo indirizzo

Nel frattempo, è disponibile la versione Alphala versione Alpha 1 di Joomla 4.0. Questa versione di prova mette a disposizione in anteprima le novità della prossima release di Joomla: nuovi template basati su Bootstrap 4, rimozione delle funzioni obsolete, wizard di installazione rinnovato, integrazione dei pacchetti Joomla Framework e una Application for Consoles rinnovata.

WordPress 4.9 è ora disponibile
WordPress 4.9 è ora disponibile.
La nuova release, soprannominata “Tipton”, introduce diverse novità, tra cui: un Customizer con nuove funzioni, miglioramenti al codice di sistema, nuovi widget (tra cui quello relativo ad una gallery), e diverse novità lato sviluppatori come customizer API JavaScript migliorato, CodeMirror (una nuova libreria per la revisione del codice), MediaElement.js aggiornato alla versione 4.2.6 e miglioramenti nella gestione di plugin e file di traduzione.
La nuova versione è disponibile nella dashboard di amministrazione o a questo indirizzo.

È disponibile anche la versione 4.9.1, che è una Security Release, non introduce nuove funzioni ma risolve problemi di sicurezza, nella fattispecie: creazione di un hash corretto per la chiave ‘newbloguser’, aggiunta di escaping nell’attributo della lingua degli elementi html, verifica corretto escaping nei feed Atom e RSS, rimozione possibilità di caricare file JavaScript per utenti senza attributo unfiltered_html; inoltre sono stati risolti bug relativi a caching dei file dei temi, errore MediaElement JS che impediva ad utenti con determinate impostazioni di lingua di caricare file media e impossibilità di modificare temi e plugin su server Windows. 

Ulteriori informazioni riguardo questa versione sono disponibili a questo indirizzo

Keylogger trovato su più di 5.000 siti WordPress

Più di 5.000 siti WordPress contengono un malware riconducibile al dominio cloudflare.solutions, che non è in nessun genere affiliato a CloudFlare, come riporta Sucuri in questo articolo.
Il malware contiene sia un keylogger che registra le sequenze di tasti premuti (incluse credenziali di accesso e dati della carta di credito nel caso di eCommerce), sia uno script JavaScript (CoinHive) che esegue il mining di crypto-valute sfruttando le risorse del computer del visitatore.
Come rimedio, Sucuri consiglia di controllare il file functions.php del tema utilizzato ed eliminare la funzione add_js_scripts ogni riferimento a add_js_scripts presente nelle voci add_action, e cambiare ogni credenziale di accesso al sito.

Disponibili aggiornamenti per Magento
Magento, che nel frattempo ha eseguito il rebranding dei suoi due prodotti (Magento Community Edition diventa Magento Open Source e Magento Enterprise Edition diventa Magento Commerce), ha rilasciato aggiornamenti per le versioni Magento Commerce 1.14.3.7, Magento Open Source 1.9.3.7 e SUPEE-10415 (patch per le versioni di Magento 1.x e precedenti) che risolvono vulnerabilità legate a Cross-site Request Forgery (CSRF), Denial-of-Service (DoS) e Remote Code Execution per gli utenti Admin autenticati. Ulteriori informazioni, incluse le modalità di aggiornamento, sono disponibili a questo indirizzo

Magento inoltre mette a disposizione lo strumento Security Scan per le versioni Commerce (ex Enterprise Edition) ed Open Source (la vecchia Community Edition) che esegue analisi in tempo reale e suggerisce rimedi per i problemi legati alla sicurezza del proprio sito, mentre al settore B2B dedica il libro “B2B Commerce Best Practices” e il Magento B2B Resource Hub, un contenitore con strategie, tattiche, consigli e suggerimenti a tema.

PHP 7.2.0 è ora disponibile
È disponibile la nuova release di PHP, la 7.2.0.
Le novità di questa versione includono la conversione di chiavi numeriche in cast di oggetti/array, numerazione di oggetti non-countable, HashContext come Oggetto, l’algoritmo di cifratura password Argon2, miglioramento delle costanti TLS, rimozione dell’estensione Mcrypt e aggiunta di una nuova estensione sodium. Una lista completa delle novità e dei bug fix è contenuta nel changelog presente a questo indirizzo

bbPress per WordPress è vulnerabile ad attacchi SQL Injection
Sucuri, con un post dettagliatoinforma che il plugin bbPress per WordPress è vulnerabile ad attacchi di tipo SQL Injection. 

bbPress è un plugin che trasforma un blog WordPress in un forum, e attualmente conta più 300.000 installazioni; la vulnerabilità è dovuta ad un errato uso della classe di astrazione database, come già successo con il plugin Nextend Gallery.
Attualmente la vunlerabilità è risolta aggiornando WordPress, tuttavia bbPress non ha ancora rilasciato una patch o una versione aggiornata del plugin, stando alle note di rilascio. Sucuri aveva notificato gli sviluppatori della vulnerabilità già lo scorso marzo, la disclosure dei dettagli è disponibile a questo indirizzo.

WordFence trova vulnerabilità nei plugin Formidable Forms, Duplicator e Yoast SEO per WordPress
WordFence, che a seguito di un’operazione di rebranding si chiama Defiant, ha individuato delle vulnerabilità in alcune versioni di plugin popolari per WordPress.
In particolare, Formidable Forms 2.05.02 e precedenti contengono problemi che permettono l’esecuzione di SQL Injection, Cross Site Scripting, Remote Code Execution, Duplicator 1.2.28 e precedenti e Yoast SEO 5.7.1 e precedenti possono essere soggetti a Cross Site Scripting.
Sono disponibili aggiornamenti per ciascun plugin che risolvono le vulnerabilità.

L'autore

Riccardo Gallazzi

Sistemista JR, tra i suoi campi di interesse maggiori si annoverano virtualizzazione con vSphere e Proxmox e gestione ambienti Linux. È certificato VMware VCA for Data Center Virtualization.

banner5

fb icon evo twitter icon evo

Parola del giorno

L'acronimo IPsec (InternetProtocol security) indica un set di protocolli che forniscono sicurezza per il protocollo IP, ad esempio aggiungendo opzioni di...

>

Il termine ISP (Internet Service Provider) indica quelle compagnie o aziende che forniscono la connettività internet agli utenti. Esistono diverse tecnologie...

>

Il termine Load Balancing o Bilanciamento di Carico descrive tutte quelle tecniche utili a distribuire in modo dinamico il carico computazionale...

>

Il termine NsLookup indica uno strumento incluso nella maggior parte dei sistemi operativi, in grado di effettuare il look up...

>

Nel contesto delle infrastrutture IT, il termine Consolidamento descrive la situazione in cui un server fisico viene utilizzato per fare girare...

>
Leggi anche le altre...

Download del giorno

DNS DataView

DNS Lookup  è un tool a interfaccia grafica per effettuare il lookup DNS dal proprio PC, sfruttando i...

>

Network Inventory Advisor

Network Inventory Advisor  è uno strumento che permette di scansionare la rete e acquisire informazioni riguardanti tutti i...

>

Process Monitor

Process Monitor è uno strumento per il monitoraggio in tempo reale dei processi attivi nel sistema. Permette una interazione...

>

DiskMon

DiskMon è un utile strumento per monitorare e registrare tutte le attività di I/O sul disco di sistemi Windows...

>

Disk2vhd

Disk2vhd è una utiliy gratuita per la migrazione P2V (phisical to virtual) in ambiente virtuale Hyper-V. Permette di convertire...

>
Tutti i Download del giorno...

Archivio numeri

  • GURU advisor: numero 16 - ottobre 2017

  • GURU advisor: numero 17 - gennaio 2018

  • GURU advisor: numero 15 - luglio 2017

    GURU advisor: numero 15 - luglio 2017

  • GURU advisor: numero 14 - maggio 2017

    GURU advisor: numero 14 - maggio 2017

  • GURU advisor: numero 13 -  marzo 2017

    GURU advisor: numero 13 - marzo 2017

  • GURU advisor: numero 12 -  gennaio 2017

    GURU advisor: numero 12 - gennaio 2017

  • GURU advisor: numero 11 -  ottobre 2016

    GURU advisor: numero 11 - ottobre 2016

  • GURU advisor: numero 10 - 8 agosto 2016

    GURU advisor: numero 10 - 8 agosto 2016

  • 1
  • 2
  • 3
  • Teslacrypt: rilasciata la chiave

    Gli sviluppatori del temuto ransomware TeslaCrypt hanno deciso di terminare il progetto di diffusione e sviluppo e consegnare al pubblico la chiave universale per decifrare i file. Read More
  • Proxmox 4.1 sfida vSphere

    Proxmox VE (da qui in avanti semplicemente Proxmox) è basato sul sistema operativo Debian e porta con sé vantaggi e svantaggi di questa nota distribuzione Linux: un sistema operativo stabile, sicuro, diffuso e ben collaudato. Read More
  • Malware: risvolti legali

    tutti i virus e in particolare i più recenti Ransomware, che rubano i vostri dati e vi chiedono un riscatto, violano la legge. Vediamo insieme come comportarsi, per capire anche se e quando bisogna sporgere denuncia. Read More
  • 1