(da un avviso postato sulla mailing list « spip-ann » )
Salve,
Un grave problema di sicurezza è appena stato scoperto : questa falla interessa tutte le versioni SPIP dalla 2.0.x alla 2.0.8, e anche il ramo 1.9. Questa falla permette a un hacker sprovvisto di qualsiasi password di prendere il controllo del sito web SPIP e del web server.
Questo allarme va preso molto seriamente in quanto non è stato scoperto da persone carine ma da un vero malintenzionato che ha preso il controllo di un sito esistente, per inserirvi malawere.
Correzioni :
Oggi sono state pubblicate 2 versioni di mantenimento di SPIP, che sistemano il problema :
- SPIP 2.0.9, ultima versione ufficiale stabile, che offre la patch e una serie di miglioramenti indicati più sotto.
- SPIP 1.9.2i, versione di mantenimento per il branch 1.9.2
Per il Download : http://files.spip.org/spip/stable/
http://files.spip.org/spip/archives/ (per la 1.9.2i)
o, se preferite usare spip_loader : http://xxx.example.tld/spip_loader.php
Per gli specialisti di sicurezza informatica, la sola patch di sicurezza, che risolve solo questa falla senza apportare ulteriori modifiche e migliorie, può essere trovata qui :
- http://fil.rezo.net/secu-14346-1435...
Controllare le revisioni [14347] [14348] [14349] [14350] e [14354].
Per il branch 1.9.2x la patch è disponibile qui :
- http://trac.rezo.net/trac/spip/chan...
Security Screen :
Se non avete possibilità di fare l’upgrade completo alle nuove versioni, vi consigliamo di proteggervi dalla falla istallando al più presto sui vostri siti SPIP « security screen ». Potete trovarlo qui :
http://www.spip.net/fr_article4200.html (Fr.)
Questo « screen » permette di bloccare alcuni attacchi senza la necessità di upgrading di SPIP.
Ringraziamenti :
Questa falla è stata scoperta e analizzata da Thomas Sutton e Pierre Rousset.
Vorremmo ricordarvi anche che il miglior modo per segnalare falle di sicurezza in SPIP è di scrivere una mail a spip-team [AT] rezo.net
Aucune discussion
Ajouter un commentaire
Avant de faire part d’un problème sur un plugin X, merci de lire ce qui suit :
Merci d’avance pour les personnes qui vous aideront !
Par ailleurs, n’oubliez pas que les contributeurs et contributrices ont une vie en dehors de SPIP.
Suivre les commentaires : |