Per ora, leggendo le FAQ, pare sia dedicato al solo interprete. Niente applicazioni sotto torchio. Comunque si parte subito in grande stile.
Ci sarà un po’ di lavoro per il php-dev team…
ciuaz
Wordpress 2.0.7
E’ stato rilasciato WordPress 2.0.7, nonostante siano passati pochi giorni dal rilascio della versione 2.0.6 è consigliato l’aggiornamento a tutti. Tra l’altro le modifiche da apportare alla propria installazione si contano sulle punta delle dita di un mano… infatti i file incriminati sono solo 6 (ok, due mani…).
Ah già, nonostante a fine mese verrà rilasciata la versione 2.1 stabile (di cui è uscita oggi la terza beta), il team di sviluppo continuerà a supportare con bugfix la serie 2.0.x…
ciuaz
In arrivo Wordpress 2.0.7
Se vi state chiedendo perchè è stata pubblicata oggi l’url della prima seconda release candidate di WordPress 2.0.7, la risposta è semplice.
E’ stato identificato un baco di sicurezza riguardante alcune configurazione (non rare) di virtual hosting.
Tra i cambiamenti:
- worked around a PHP bug for PHP4 < 4.4.3 and PHP5 < 5.1.4 with register_globals ON that could lead to SQL injection or other security breaches
- Feeds should properly show 304 Not Modified headers (a.k.a. the FeedBurner bug) instead of mismatched 200/304 headers
- Backport of another 304 Not Modified fix from trunk (Etag mismatch on certain hosts would cause 200 OK and content to always be served, a waste of bandwidth)
- Deleting WP Pages no longer gives an “Are You Sure?” prompt
- After deleting a WP Page, you are properly redirected to the Edit Pages screen
- Sending an image at original size in IE no longer adds an incorrect “height” attribute
Se avete un hosting con PHP < 4.3.5 vi consiglio di testare la nuova versione (anche se è una RC) e di comunicare eventuali problemi al supporto di wordpress.
ciuaz
Aggiornate PHP, e fatelo in fretta…
E’ stata rilevato un bug abbastanza grave che permette di usare htmlentities() e htmlspecialchars() per eseguire codice remoto su un server (maggiori info su hardened-php). Siccome quelle due funzioni sono alla base di tutti i metodi di parsing e protezione contro XSS sono normalmente usate ovunque.
Su PHP.net trovate le nuove release 5.2.0 e 4.4.4 che risolvono la vulnerabilità.
ciauz
Serendipity security release
E’ stata rilasciata una security release per Serendipity. E’ stato trovato un baco XSS per l’area di amministrazione del cms che permetterebbe di mettere in ginocchio un sito basato sul cms opensource. Ovviamente il sito di Serendipity è stato il primo ad essere stato attaccato :( …
ciuaz
Privacy, Security and Recovery
Nuovo progettino di Zimmerman (qualcuno lo conoscerà per quell’utilità di poco conto chiamata PGP). L’oggettino in questione di chiama Zfone e non è altro che un protocollo per rendere le telefonate VoIp fatte su protocollo SIP sicure e private.
Per ora stato realizzato un software ad hoc per sfruttare l’idea (attualmente disponibile per Linux ed Os X), ma è già stata richiesta la standardizzazione del protocollo e rilasciato un toolkit per permetterne l’integrazione nei vari client SIP attualmente disponibili sul mercato.
Wordpress 1.5.3
Continuano ad uscire bug-fix per Wordpress, questa volta si tratta della vecchia versione 1.5.x che a breve vedrà una revisione 1.5.3.
Intanto se volete aggiornare il vostro blog con le ultime patch vi consiglio di seguire questa breve guida.
ciuaz
Wordpress 2.0.1 security tips
Un piccolo suggerimento di sicurezza se state usando la versione 2.0.1 di Wordpress.
DISABILITATE LA REGISTRAZIONE DEGLI UTENTI DIRETTAMENTE DAL BLOG
in settimana arriverà scaricate la 2.0.2…
ciauz
WPA e Linux
Mentre cercavo informazioni su come configurare la nuova versione dei driver Linux WLAN per usare WPA mi sono imbattuto in WPA_Supplicant un driver scritto adhoc per i chipset prism che permette di usare WPA al massimo delle sue possibilità.
Altra cosa interessante è che in giro si trova un’applicazione proof-of-concept per cracckare le reti Wifi che implementano tale protocollo, e c’è anche questo livecd con un’altra applicazione che però usa un metodo bruteforce…
ciauz
11 trucchetti per ssh
Ben undici trucchetti ed espedienti di utilizzo di SSH.
via LinuxJournal
Aggiornate phpMyAdmin
Aggiornate phpMyAdmin, l’ultima versione ha un bel baco XSS…
ciuaz
MD5 non più sicuro
Pare sia stato reso pubblico l’algoritmo per ottenere collisioni con MD5. Per dovere di cronaca l’MD5 è un algoritmo non reversibile che data una stringa ne calcola un hash (in teoria univoco) spesso usato per criptare i dati, inoltre viene definito collisione il caso in cui due differenti stringhe abbiano lo stesso hash.
Il fatto che sia stato trovato un metodo per trovare stringhe che collidono tra di loro porta l’MD5 ad essere un algoritmo insicuro in quanto non garantirebbe più l’unicità dei dati ottenuti dalla funzione di hashing, inoltre pensate che da un test fatto basterebbe meno di un ora per trovare una stringa su un p4 ad 1.6GHz.
Per farvi capire la criticità della scoperta pensate che la maggior parte delle applicazioni php usa come unico metodo di criptazione delle password MD5. Immaginate cosa potrebbe fare un utente malintenzionato che in qualche modo riesce ad ottenere accesso al db con i dati utente, o al semplice cookie dell’utente dove molti, imprudentemente, salvano il valore della stringa hash della password.
Beh, è tempo di passare tutti a SHA-2!
ciuaz
PHP 4.4.1
Rilasciata la nuova versione di php, la 4.4.1, che risolve alcune gravi falle di XSS.
PHP 4.4.1 is now available for download. This version is a maintenance release, that contains numerous bug fixes, including a number of security fixes related to the overwriting of the GLOBALS array. All users of PHP 4.3 and 4.4 are encouraged to upgrade to this version.
The full list of changes in PHP 4.4.1 is available in the PHP 4 ChangeLog.
ciauz
php, sicurezza e quantaltro…
Continuano gli sproloqui e le wishlist sul futuro framework di Zend, per ora ne parlano:
- Wez Furlong (il quale però da anche le prime spiegazioni di come sarà veramente)
- John Lim
- Chris Shifflet con una whishlist sulla sicurezza
Ancora qualche links (forse qualcuno vecchio) sulla sicurezza delle applicazioni web:
- su ha.ckers.org XSS in tutte le salse
- su oswap alcune comode regex per l’analisi e la validazione degli input
phpPatterns ritorna in vita, e stavolta come un Bloki (blog+wiki) dove tutti potranno contribuire alla creazione di un repository di patterns per php.
ciauz