e107 works news

Aruba ha bloccato parecchi siti di e107 con versioni non aggironate perche' ci stavano dei bug che inviano milioni di richeiste al server stesso!!!
giusto per info....

Ne sono a conoscienza e, sia pure dispiaciuto, non si può non fare a meno che dare ragione all'hoster.
Anche se c'è chi pensa che l'hoster debba essere al tuo servizio esclusivo, in realtà esso affitta una parte del suo server al cliente. Questi è tenuto a rispettare determinate regole di sicurezza, perchè se così non fosse, tutti i server di questo mondo sarebbero dei colabrodo.

Ora nel caso specifico di ballu non voglio certo infierire, anzi, tutta la mia simpatia, ma è da sempre che ripetiamo di mantenere aggiornate le versioni del CMS, come per tutti i CMS come per qualsiasi sistema operativo.

Un qualsiasi padrone di casa che ci affitta un appartamento, se viene a conoscenza che operiamo illecitamente o, peggio, se un danno è dovuto da nostra incuria od inadempienza, con ogni ragione si rivale nei nostri confronti: perchè un Hoster non dovrebbe farlo?

Ho letto molte lamentele in giro per diversi siti, ed alcuni ritengono addirittuta "vergognoso" questo atteggiamento: credo si sbaglino e di grosso.

Al contrario, se il CMS viene aggiornato, non vedo il motivo per cui il servizio non debba essere ripristinato. In questo caso allora si che all'hoster si può imputare una incorretta conduzione del servizio perchè si basa eclusivamente su dati discriminatori che non hanno fondamento alcuno. Men che meno se l'hoster consiglia l'uso di altro CMS.

Certo è che altri CMS , godendo di un supporto affidabile e certamente collaborativo fra i vari portali che se ne curano, possono fare la "voce grossa"; noi continuiamo a tirarci le palline di carta.
Questo avevo il dovere di dirlo!

Il problema, come correttamente e tempestivamente puntualizzato da Alf, verte attorno ad una vulnerabilità del file contact.php

In pratica, é possibile far eseguire codice arbitario attraverso una richiesta opportunamente formata al file in questione.

La vulnerabilità é stata pubblicata in data 24/05/2010 ed é quindi abbastanza recente, anche se non si tratta esattamente di una vulnerabilità cosiddetta "0-day"

L'exploit, per quanto risulta, sembrerebbe essere stato identificato da un membro dello staff di sviluppo di e107 (o perlomeno da qualcuno che si spaccia per tale)

Le installazioni di e107 che ne verrebbero affette sono tutte le versioni fino alla 0.7.20 compresa

Curiosamente, nel testo dell'exploit, il redattore ha inserito un cortese segno di disappunto nei confronti del team stesso:
Citazione
# These scrubs still haven't released an update!
# Here is a little bit of motivation for them to
# patch one of the most popular, and insecure of
# the PHP web apps available today.

Il codice originale per sfruttare l'expoit é stato scritto in perl, ma nulla vieta di trascriverlo in qualche altro linguaggio di alto livello.

Nell'attacco svolto, l'exploit é stato utilizzato per eseguire remotamente codice (http:// www.yucatekisimo.com/ language/shell.txt), poi a sua volta usato per scaricare/eseguire altro codice (http://pastie.org/ pastes/972323 o Link), poi a sua volta utilizzato per scaricare ed eseguire altro codice (http://hades.own.cz/ Private/e107.pl)

Quest' ultimo é un cortesissimo "e107 mass scanner/shell uploader", come viene definito all'interno del codice stesso.

Senza dilungarmi ulteriormente, a mio parere ogni installazione di e107 di versione uguale o inferiore alla 0.7.20 va considerata con il massimo sospetto e l'applicazione di una patch o la rimozione del punto di ingresso dell'exploit (il file contact.php) inevitabile, per quanto rimanga comunque pressante l'esigenza (ma francesco potrebbe correttamente ritenerlo un obbligo) di aggiornare la piattaforma ad una versione più recente.

EDIT: peraltro, considerata anche la presenza di importanti bug di RFI (Remote File Inclusion) e XSS (Cross-Site Scripting) rilevati nella versione 0.7.21, le considerazioni di cui sopra si rendono ancora più pressanti.

EDIT: in ogni caso, qualunque installazione che abbia risentito ovvero avrebbe potuto risentire del/dei problema/i suddetti, andrà obbligatoriamente e accuratamente esaminata alla ricerca di file estranei al set di installazione del cms che potrebbero racchiudere altri spiacevoli "regali" (shell php, mass mailers, ecc.) che potrebbero essere stati caricati attraverso le vulnerabilità di cui sopra ed accuratamente ripulita dagli stessi prima di essere rimessa on-line.