Warning: strpos(): needle is not a string or an integer in /membri2/drudo/blog-r/index.php on line 31

Warning: strpos(): needle is not a string or an integer in /membri2/drudo/blog-r/index.php on line 37
blog ¦ drudo (-rw-r--r--)
 
Vulnerabilità per Simple PHP Blog 0.4.x
Il ben noto sito secunia.com ha dato notizia di una vulnerablità dichiarata Less critical che farebbe leggere a chiunque la password di amministrazione del blog. A dir il vero il bug era già stato segnalato il 15 Aprile nella lista dei bug presente nelle pagine di SourceForge del progetto:

[ 1202350 ] CRITICAL BUG: Anyone can download password and other files!

Addirittura ce n'era già un accenno il 28 marzo:

[ 970171 ] anyone can get password.txt file

Sul sito di supporto sono saltate fuori diverse soluzioni che vi traduco e sintetizzo in poche parole:

  1. Utilizzare il file .htaccess
    Creare un file .htaccess e upparlo nella cartella /config per impedire l'accesso ai non autorizzati.
    Sui server Altervista sarebbe anche possibile farlo previo decurtazione di 1000 AC. Ciò nonostante è possibile impedire l'accesso alla cartella, con un nick e una password, cliccando sul "lucchetto" nella gestione file del pannello di controllo senza spese alcune.
  2. Spostare il file password.txt
    Creare una cartella con un nome lungo e complesso (es. /sdfgs78dfsjh348dffsdfghlk), spostare il file password.txt da /config alla nuova cartella, aprire il file /scripts/sb_login.php e sostituire ogni occorrenza di /config/password.txt con /sdfgs78dfsjh348dffsdfghlk
  3. Utilizzare la patch di Jörg Tiedemann
    Andare su questa pagina e scaricare la patch (sb_login.zip). Una volta scompattato basta sostituire il nuovo file con quello vecchio.
    L'autore non mi ha ancora dato conferma che la sua patch risolva la vulnerabilità, ma tutto lo fà pensare :D

Terrò comunque aggiornati se vedrò novità all'orizzonte!


Indietro