Warning: strpos(): needle is not a string or an integer in /membri2/drudo/blog-r/index.php on line 31

Warning: strpos(): needle is not a string or an integer in /membri2/drudo/blog-r/index.php on line 37

Warning: strpos(): needle is not a string or an integer in /membri2/drudo/blog-r/index.php on line 49
blog ¦ drudo (-rw-r--r--) - FlatPress international forum
 
FlatPress international forum
In sordina il buon NoWhereMan ci annuncia l' apertura del forum ufficiale di FlatPress su:
http://www.flatpress.org/forums/

Ormai il progetto FlatPress (il blog engine in PHP flatfile) ha preso definitavemnte quota con una release stabile, una home page, un blog, un wiki ed il prima citato forum :)

Auguroni di cuore!!

SimplePHPBlog 0.5.1
Come promesso da Bill pochi giorni fà, è stata rilasciata una nuova release che sana i bug quì segnalati.

Si tratta della 0.5.1 che si presenta con questo changelog:
- New options to show specific category as initial page (unless user picks another category)
- Fixed specific security vulnerabilities found in upload_img and themes.
- Added center button and support to editor per forum requests.

Download:
http://sourceforge.net/project/showfile ... _id=106696

Vulnerabilità Simple PHP Blog (tutte le release)
Il sempre attento NoWhereMan ci informa di una vulnerabilità che affligge tutte le versioni di SimplePHPBlog.

Non viene specificato molto da Bill che si limita a scrivere questo avviso:
I have been working with Luca Carettoni from SecureNetwork.IT the last few days about an exploit found in SimplePHPBlog that could allow a hacker full access to your blog. We are working on the issue full time but a lesser security firm called SecurityFocus found the need to disclose the vulnerability WITHOUT asking us about it first. This is a serious issue for our users.

Until we can get a release out to fix the problem, we are telling our users to delete upload_img*.* from their web servers. This will close the most dangerous of the holes. The other one has to do with the way themes get their color definitions from the configuration files and we are looking at that one now. MAKE SURE TO BACK UP YOUR BLOGS. If someone does get access, it will be just a matter of restoring your blog.

We expect to create a security release of some sort by the end of the weekend. Thanks in advance.


Traduzione a tratti libera:

Sto lavorando con Luca Carettoni di SecureNetwork. Pochi giorni fà è stato individuato un exploit in SimplePHPBlog che permette ad un hacker cracker di avere completo accesso al blog. Si sta lavorando a tempo pieno ma quei buon temponi di SecurityFocus hanno trovato la vulnerabilità senza prima avvisarci. Questo è serio (cit. del mitico Moss di "Los Angeles senza meta").

Prima del rilascio di una nuova release che fissi il problema, si consiglia di cancellare i file upload_img*.* dal proprio server. Questo chiuderà il bug più pericoloso. Altro problema si è riscontrato nei file di configurazione dei colori. FATE UN BACKUP DEL VOSTRO BLOG. Bla bla bal ovvietà...

Entro fine settimana dovrebbe essere pronta una fix release. Grazie.

A tal proposito un utente (tale normann) ci propone una possibile soluzione, dicendoci inoltre che la vulnerabilità è sfruttabile solo a chi è loggato nel blog:
http://forums.simplephpblog.com/viewtopic.php?p=4630

Riporto la soluzione in caso il forum ufficiale fosse in crisi mistica:

Sostituire questo codice in upload_img_cgi.php:
// New code for limiting the files that can be uploaded - provided by ReZEN (rezen@xorcrew.net)
$upload_denied_extentions = array( "exe", "pl", "php", "php3", "php4", "php5", "phps", "asp","cgi", "html", "htm", "dll", "bat", "cmd" );
$extension = strtolower(substr(strrchr($uploadfile, "."), 1));
foreach ($upload_denied_extentions AS $denied_extention) {
if($denied_extention == $extension) {
echo('That filetype is not allowed');
exit;
}
}

con
// New code for limiting the files that can be uploaded
$upload_valid_extentions = array( "jpg", "gif", "png" );
$extension = strtolower(substr(strrchr($uploadfile, "."), 1));
if (!in_array($extension, $upload_valid_extentions)) {
echo('That filetype is not allowed');
exit;
}

Potete discutere della cosa quì nei commenti o più comodamente su forum di SPBItalia:
http://spbitalia.altervista.org/forum/v ... php?id=825


Indietro Altre notizie