Warning: strpos(): needle is not a string or an integer in /membri2/drudo/blog-r/index.php on line 31

Warning: strpos(): needle is not a string or an integer in /membri2/drudo/blog-r/index.php on line 37

Warning: strpos(): needle is not a string or an integer in /membri2/drudo/blog-r/index.php on line 49
blog ¦ drudo (-rw-r--r--) - Simple PHP Blog 0.4.5
 
Simple PHP Blog 0.4.5
Dopo la gran cagnara per le debolezze scoperte nelle versioni <= 0.4.4 ecco una nuova release di Simple PHP Blog la 0.4.5 che fissa i bug "comment delete vulnerability", "upload image vulnerability", e presenta un nuovo metodo per salvare la password.

L' annuncio:
Obviously, this is a recommend update for everyone. If you are updating, delete all files except for the "config", "content" and "images" folders. Then, upload the new files. (I would also recommend making a back up at this time...)

Also, there is a brand new password scheme:
You will be presented with the install screens again. Then you will be asked to create a new username and password. On the next screen you will manually need to copy and paste the password hashes and upload them into the config folder.


I file per la traduzione penso debbano ancora essere aggiornati quindi attendiamo pazienti.

gTinSMS 1.1.2
Miglioramenti nella GUI per questa comodissima utility che grazie a tinSMS, uno script in perl, riesce a farci mandare i 10 SMS disponibili per chi ha un contratto adsl alice.

Maggiori informazioni le potete leggere a questi indirizzi:
http://www.marzocca.net/linux/alicetinsms.html
http://www.marzocca.net/linux/gtinsms.html


News correlata:
Spedire SMS dalla nostra Linux box

Simple PHP Blog Hacked!
Ieri 3 settembre il sito del progetto Simple PHP Blog è stato sotto attacco da un psuedo-cracker che è riuscito a cancellare i messaggi presenti fino a quel momento.

La vulnerabilità sfruttata dovrebbe essere Image File Upload Vulnerability già segnalata da Secunia.com come "Less critical" (tanto less non mi pare...).

Ad ogni modo come si può leggere ora sullo stesso sito, grazie alla falla non corretta è stato possibile uppare un file chiamato "HACK.php.JPG" e di conseguenza altri "cmd.php", "c99shell.php", "remview.php" e "webadmin.php" sempre nella cartella delle immagini. Dopo questo punto il danno...

La soluzione che viene indicata è questa:
If you are running SPHPBlog (any version) please delete the upload_img.php, and upload_img_cgi.php files from your install (until we fix them.) Also, if you were hacked, please be aware that they installed a "backdoor" in the "script/sb_login.php" file in the check_password function. The backdoor password is "1nf0"...

Traduco grossolanamente:
Cancellare (per il momento) i file "upload_img.php" e "upload_img_cgi.php".
Se si è stati attaccati sappiate che è stato installato un "backdoor" nella funzione check_password nel file "script/sb_login.php". La password è "1nf0" ...

Sostituire il file "sb_login.php" con uno stesso file presente nei reposity di SourceForge.

Speriamo che con questo attacco il progetto abbia riacquistato nuovo vigore :)

Raccomandazioni
  1. Fissare i bug segnalati fin d'ora con le soluzioni proposte (Arbitrary File Deletion, Anti Spam Code bug, Exposure of User Credentials, ecc.)
  2. Fare un backup regolare
  3. Cancellare i file install*.php
  4. Seguire il nostro forum (:D) e il sito ufficiale!



Indietro Altre notizie