Clicca QUI

11 Mag 2008  

Benvenuto

OpenItalia | MAXdev | Envolution | PostNuke | OpenCommercio | Forum

Menu Principale

Ultimi commenti
  eNvolution
dove posso scaricare envolution? conoscete qualche sit...
julixx3
  Re: Postuke 0.764 ri...
Ora tutto dovrebbe funzionare
TiMax
  Re: Postuke 0.764 ri...
Non si scarica perchè
gigimalto

News Postnuke

Articoli precedenti
Martedì 01 Aprile
·OpenOffice.org 2.4 nel segno dell'Associazione PLIO (0)
Sabato 15 Marzo
·Ecco GNOME 2.22 (0)
Venerdì 07 Marzo
·ERLUG per la scuola (0)
Martedì 19 Febbraio
·Rilasciato AutoTheme 0.81 per RC2a (0)
Giovedì 07 Febbraio
· Ecco OpenCommercio MS2.2 RC2a | (0)
 Articoli vecchi

  
postnuke.it : Avviso di Sicurezza PostNuke PNSA 2005-1
Inviato da : TiMax Martedì, 01 Marzo 2005 - 16:54    [ Edit ] [ Delete ]
 

Vulnerabilità : SQL injection, numerose omissioni di controllo input/output: 0.750+

Descrizione

Postnuke è un Content Managment System (CMS) open sourceche ha iniziato ad essere sviluppato come fork di PhpNuke e rispetto a quest'ultimo implementa notevoli servizi e miglioramenti.Tuttora Postnuke è in pieno sviluppo e un gran numero di sviluppatori lavora ogni giorno ad innumerevoli migliorie del core e delle API per l'integrazione di moduli di terze parti(in particolare ADODB per la connessione ai database e SMARTY per il motore grafico).

Il Team di sviluppo di Postnuke quindi ad oggi ha individuato parecche falle nel sistema di sicurezza includendo anche l'ultima verione rilasciata in ordine di tempo e cioè la .760RC2 decidendo inotre di dover adottare le seguenti patch anche per la più stabile .750



Vulnerabilità

- omissioni di validazione dell'input in /modules/Modules/pnadmin.php
- omissioni di validazione dell'input in /includes/blocks/past.php
- omissioni di validazione dell'output in /modules/Downloads/admin.php
- omissioni di validazione dell'input in /modules/Downloads/dl-util.php
- omissioni di validazione dell'input in /modules/Downloads/dl-search.php
- possibile rivelazione della path in /modules/News/index.php

Soluzione

E' caldamente raccomandato a tutti gli amministratori di upgradare i propri siti web a partire dalla .750 scaricando il pacchetto con tutti gli aggiornamenti dall'indirizzo evidenziato qua sotto.
Da notare inoltre che il pacchetto principale è già stato aggiornato per includere questo avviso di sicurezza e che sono invitati ad installare lo stesso avviso solo gli amministratori che abbiano scaricato la versione principale prima di questo avviso!

Pacchetti di aggiornamento ed indirizzi

1. PostNuke 0.750 (formato tar.gz)
http://news.postnuke.com/Downloads-index-req-viewdownloaddetails-lid-411.html
GRANDEZZA: 2410936 Bytes
MD5 checksum: dcb276fa0aae4e22764eb22fd66ccd09
SHA1 checksum: bc8c5ccde62312956f72a144e67efbf65bf82349

2. PostNuke 0.750 (formato zip)
http://news.postnuke.com/Downloads-index-req-viewdownloaddetails-lid-410.html
GRANDEZZA: 3408707 Bytes
MD5 checksum: f49e17d4040892634c53b9fb5afe650c
SHA1 checksum: 82590102de8b0171993eaf94cc73006ad84ae752

3. FIX di Sicurezza (solo i file modificati) per PostNuke 0.750 (formato tar.gz)

http://news.postnuke.com/Downloads-index-req-viewdownloaddetails-lid-457.html
GRANDEZZA: 26990 Bytes
MD5 checksum: 2e654367bda64f8e9944273991997068
SHA1 checksum: fde99e26357003a8fd36aa7fde0da2859dc2c0b5

4. FIX di Sicurezza (solo i file modificati) per PostNuke 0.750 (formato zip)
http://news.postnuke.com/Downloads-index-req-viewdownloaddetails-lid-458.html
GRANDEZZA: 32088 Bytes
MD5 checksum: e8b118732f19aa55d80550f6fe4d0caa
SHA1 checksum: f018e4f1d5339dce4b6a8419ac98a555c89945a2

Nuove Release

1. PostNuke 0.760RC3 (formato tar.gz)

http://news.postnuke.com/Downloads-index-req-viewdownloaddetails-lid-459.html
GRANDEZZA: 2933473 Bytes
MD5 checksum: b0bbd2649a027cf20f603ff26d17c392
SHA1 checksum: 5efd53cabd9f069320d2b157be9dc463fbc9d1cf 

2. PostNuke 0.760RC3 (formato zip)
http://news.postnuke.com/Downloads-index-req-viewdownloaddetails-lid-460.html
GRANDEZZA: 4265380 Bytes
MD5 checksum: c2cce796bbf803c7018fa2f4b2891c9f
SHA1 checksum: cb5dc8953a562bcf07bca392dcbe18009942e32c

3. Traduzione italiana ufficiale di Postnuke.it per PostNuke 0.760RC3 (formato zip)
http://www.postnuke.it/modules.php?op=modload&name=Downloads&file=index&req=viewdownloaddetails&lid=537

4. Traduzione italiana ufficiale di Postnuke.it per PostNuke 0.760RC3 (formato tar.gz)
http://ww.postnuke.it/modules.php?op=modload&name=Downloads&file=index&req=viewdownloaddetails&lid=538

Istruzioni aggiuntive

Assicuratevi di sistemare i file modificati nelle rispettive directory per essere sicuri di aver patchato il vostro sistema in modo corretto.
Se in futuro vorrete ricevere simili avvisi di protezione ed aggiornamento iscrivetevi a questo indirizzo http://lists.postnuke.com/mailman/listinfo/postnuke-security

Note speciali per la versione  .760RC3

Questa versione non è raccomandata per siti operativi in quanto non è ancora da considerarsi stabile.
Se state eseguendo un upgrade dalla .760 leggete attentamente il file manual.txt inquanto con tale patch verranno agiornati o addirittura sostituiti parecchi file di sistema e pertanto la procedura deve essere eseguita alla lettera. 

Credits

Questi exploits sono stati originariamente scoperti da Maksymilian Arciemowicz su http://www.securityreason.com/ e riportati in seguito nel bollettino di sicurezza.

Andreas Krapohl <­larsneo>, PostNuke Development Team

28 Febbraio 2005


Avviso di Sicurezza PostNuke PNSA 2005-1 | Login/crea un profilo | 0 Commenti
I commenti sono di proprietà dei legittimi autori, che ne sono anche responsabili.
  

Open Source Made in Italy

Tutti i loghi e marchi in questo sito sono di proprietà dei rispettivi proprietari.
I commenti sono di proprietà dei rispettivi autori, ed il resto © 2003 - 2005 MAX s.o.s.
Visualizzate le nostre news usando il file backend.php
E' vietata qualsiasi riproduzione parziale o completa se non autorizzata
Condizioni d'uso    Politica sulla privacy

Un altro progetto di MAX s.o.s.
Crediti Powered by MDPro