Warning: strpos(): needle is not a string or an integer in /membri2/drudo/blog-r/index.php on line 31

Warning: strpos(): needle is not a string or an integer in /membri2/drudo/blog-r/index.php on line 37
blog ¦ drudo (-rw-r--r--)
 
SimplePHPBlog 0.5.1
Come promesso da Bill pochi giorni fà, è stata rilasciata una nuova release che sana i bug quì segnalati.

Si tratta della 0.5.1 che si presenta con questo changelog:
- New options to show specific category as initial page (unless user picks another category)
- Fixed specific security vulnerabilities found in upload_img and themes.
- Added center button and support to editor per forum requests.

Download:
http://sourceforge.net/project/showfile ... _id=106696

Vulnerabilità Simple PHP Blog (tutte le release)
Il sempre attento NoWhereMan ci informa di una vulnerabilità che affligge tutte le versioni di SimplePHPBlog.

Non viene specificato molto da Bill che si limita a scrivere questo avviso:
I have been working with Luca Carettoni from SecureNetwork.IT the last few days about an exploit found in SimplePHPBlog that could allow a hacker full access to your blog. We are working on the issue full time but a lesser security firm called SecurityFocus found the need to disclose the vulnerability WITHOUT asking us about it first. This is a serious issue for our users.

Until we can get a release out to fix the problem, we are telling our users to delete upload_img*.* from their web servers. This will close the most dangerous of the holes. The other one has to do with the way themes get their color definitions from the configuration files and we are looking at that one now. MAKE SURE TO BACK UP YOUR BLOGS. If someone does get access, it will be just a matter of restoring your blog.

We expect to create a security release of some sort by the end of the weekend. Thanks in advance.


Traduzione a tratti libera:

Sto lavorando con Luca Carettoni di SecureNetwork. Pochi giorni fà è stato individuato un exploit in SimplePHPBlog che permette ad un hacker cracker di avere completo accesso al blog. Si sta lavorando a tempo pieno ma quei buon temponi di SecurityFocus hanno trovato la vulnerabilità senza prima avvisarci. Questo è serio (cit. del mitico Moss di "Los Angeles senza meta").

Prima del rilascio di una nuova release che fissi il problema, si consiglia di cancellare i file upload_img*.* dal proprio server. Questo chiuderà il bug più pericoloso. Altro problema si è riscontrato nei file di configurazione dei colori. FATE UN BACKUP DEL VOSTRO BLOG. Bla bla bal ovvietà...

Entro fine settimana dovrebbe essere pronta una fix release. Grazie.

A tal proposito un utente (tale normann) ci propone una possibile soluzione, dicendoci inoltre che la vulnerabilità è sfruttabile solo a chi è loggato nel blog:
http://forums.simplephpblog.com/viewtopic.php?p=4630

Riporto la soluzione in caso il forum ufficiale fosse in crisi mistica:

Sostituire questo codice in upload_img_cgi.php:
// New code for limiting the files that can be uploaded - provided by ReZEN (rezen@xorcrew.net)
$upload_denied_extentions = array( "exe", "pl", "php", "php3", "php4", "php5", "phps", "asp","cgi", "html", "htm", "dll", "bat", "cmd" );
$extension = strtolower(substr(strrchr($uploadfile, "."), 1));
foreach ($upload_denied_extentions AS $denied_extention) {
if($denied_extention == $extension) {
echo('That filetype is not allowed');
exit;
}
}

con
// New code for limiting the files that can be uploaded
$upload_valid_extentions = array( "jpg", "gif", "png" );
$extension = strtolower(substr(strrchr($uploadfile, "."), 1));
if (!in_array($extension, $upload_valid_extentions)) {
echo('That filetype is not allowed');
exit;
}

Potete discutere della cosa quì nei commenti o più comodamente su forum di SPBItalia:
http://spbitalia.altervista.org/forum/v ... php?id=825

Simple PHP Blog 0.5.0.1
Sono in "leggero" ritardo nel darvi la notizia, ad ogni modo è stata rilasciata (il 7 agosto '07) una nuova release di Simple PHP Blog che fissa alcuni bug riscontrati nella precedente versione.

Eccovi il changelog della 0.5.0.1:
- Changed nav links at bottom to only show 10 items. Added First and Last links. Changed it to use only one line.
- Fixed the comments not showing the actual logged in user if not admin
- Fix error where the view_counter folder had not been created yet after an upgrade.
- Fix misc duplication and grammar errors in the English file.
- Translate most items missed on 0.5.0.
- Fix error when logging in on PHP 5 "A session is active. You cannot change the session module's ini settings at this time."
- Fix in setup for language issues reported with "hieroglyphics"
- Fix upload image bug where error was reported on an echo call.
- Unmoderated comments no longer show in the sidebar recent comments
- Fixed bug where no avatar produced an error.
- Editing an entry no longer changes the user.
- When moderation is turned on, some characters get changed into their control code format.

Al momento del rilascio il buon Bill ha fatto un pò d'ordine riguardo le localizzazioni, in particolare ha creato una nuova sezione su SourceForge dove poter scaricare i langpack separatamente.
A questo proposito ricordo a tutti che è aperto un wiki dove poter contribuire alla traduzione italiana (devo ancora vedere se nella 0.5.0.1 sono state aggiunte stringhe) :
http://spbitalia.wikispaces.com/

Download diretto:
Simple PHP Blog 0.5.0.1 (zip)


Indietro Altre notizie