Falle di sicurezza nelle applicazioni web - consigli

Durante gli ultimi anni si e' verificata un'ampia diffusione di applicazioni web quali forum, blog, guestbook, cms, portali.

Queste applicazioni, molto spesso gratuite, sono diventate oggetto di attenzione non solo degli utilizzatori, ma anche di persone malintenzionate che sono alla continua ricerca di falle di sicurezza delle applicazioni stesse. Una volta scoperta una falla e' infatti molto facile sfruttarla per danneggiare tutti coloro che utilizzano quella stessa applicazione, a volte violando anche decine di migliaia di siti in una sola volta a livello mondiale.

In genere queste falle di sicurezza permettono di modificare il contenuto del sito (ad esempio cambiandone la home page), oppure di renderlo semplicemente non visibile, oppure di usarlo per diffondere contenuti illegali.

Inoltre e' buona norma mantenere aggiornato il sistema operativo del proprio pc e proteggerlo con un software firewall ed un software antivirus e di fare attenzione a messaggi e-mail contenenti allegati sospetti o richieste di password di accesso a conti correnti o similari (phishing).

In questo modo si proteggono tutte le proprie password, inclusa quella di gestione della propria e-mail o del proprio sito web.

Riportiamo di seguito un elenco delle applicazioni web piu' diffuse con i relativi consigli di sicurezza. Se si usano applicazioni non presenti in elenco, consigliamo comunque di verificarne lo stato di aggiornamento presso i siti dei relativi produttori.

**JOOMLA!**

Gli utilizzatori di Joomla!, hanno ricevuto una comunicazione riguardo la falla di sicurezza scoperta dagli sviluppatori dell'applicazione, nel mese di agosto, che consente il reset non autorizzato della password di amministratore.

I rischi conseguenti da tale vulnerabilità sono evidenti, defacement, cancellazione contenuti ecc...

Si consiglia quindi l'aggiornamento alla ultima versione stabile di Joomla (1.5.7) a chi ancora non lo avesse fatto.

Per maggiori dettagli, consultate le indicazioni fornite nel sito ufficiale:

ITA < http://www.joomlaitalia.com/content/view/323/90/ >

Subito dopo il rilascio della versione 1.5.7, il team di Joomla! ha pubblicato una news circa alcune incompatibilità con php v.4, per cui consigliamo di consultare anche quanto riportato al seguente indirizzo per la risoluzione di eventuali problematiche:

ITA < http://www.joomla.it/notizie/715-laggiornamento-a-joomla-157-crea-problemi-su-server-con-php4.html/http://developer.joomla.org/bug-squad-blog/276-security-php-4-and.html/

**WORDPRESS**

Agli utilizzatori di Wordpress raccomandiamo l'aggiornamento all'ultima versione 2.6.2, che racchiude importanti aggiornamenti riguardanti la sicurezza, in particolare per chi utilizza il modulo di Registrazione Utenti, le vecchie versioni sono esposte al rischio di hacking delle password utente e di reset della password con una password casuale: il sito non viene comunque esposto a rischio di defacement in quanto l'hacker non può conoscere la nuova password, ma è in ogni caso una patch che andrebbe applicata.

Per avere maggiori dettagli, consultare il sito ufficiale, al link:

ITA < http://www.wordpress-it.it/2008/09/09/wordpress-262-in-italiano/

**XOOPS**

Rilasciata in data 22/09/08 l'ultima versione del noto CMS, versione inglese 2.30 disponibile sul sito < http://www.xoops.org/ > versione italiana tradotta e stabile 2.0.18.2 rilasciata in data 13/09/08 disponibile sul sito < http://www.xoopsitalia.org/ >

**GALLERY - Menalto**

Rilasciata in data 18/09/2008 la versione 2.2.6 del noto photoalbum Gallery.

L'aggiornamento contiene numerose fix di sicurezza, pertanto consigliamo vivamente a tutti gli utilizzatori di aggiornare le loro installazioni.

Per ulteriori informazioni, consultare il sito ufficiale:

< http://gallery.menalto.com/ >

**DRUPAL**

L'ultima release, la 6.5 rilasciata pochi giorni fa, in data 08 Ottobre.

Sono stati aggiornati molti moduli, alcuni dei quali a causa di rilevanti problematiche di sicurezza.

Il modulo aggiuntivo 'Everyblog' è stato addirittura rimosso, per una grossa vulnerabilità di SQL Injection e Cross-site scripting.

Se utilizza tale modulo, consigliamo di rimuoverlo al più presto dal Blog.

Riportiamo di seguito una lista dei moduli aggiornati di recente, consigliando però, di consultare *sempre* il sito ufficiale per avere maggiori dettagli, ed informazioni aggiornate :

Brilliant Gallery - Ajax Checklist - Plugin Manager - Answers - Link To Us - Mailsave - Mailhandler

ENG < http://drupal.org/security/ >

**SNITZ FORUM**

Utilizzato in hosting windows, l'ultima release non e' recente, si tratta della versione 3.4.06, ma è necessario assicurarsi di non avere una versione precedente in quanto sono presenti vulnerabilita' che consentono l'hacking della password di amministratore.

ENG < http://forum.snitz.com/forum/forum.asp?FORUM_ID=118/ >

**PHPBB FORUM**

L'ultima versione e' la 3.0.2, disponibile sia in inglese che italiano.

Consigliamo caldamente di aggiornare all'ultima versione disponibile, in quanto la versione 3.0.1. risulta vulnerabile a problemi di hacking password e dati sensibili.

In merito a PHPBB e' possibile inoltre iscriversi sul sito ufficiale (ENG) al cosiddetto 'Security Tracker', per eventuali tempestivi avvisi.

ENG < http://www.phpbb.com/downloads/ >

ITA < http://www.phpbb.it/download.html >

fonte aruba.it