Mese: Agosto 2011

WordPress a rischio : timthumb.php vulnerabile ad attacchi di tipo Remote File Include

TimThumb, l’utility di ridimensionamento delle immagini compresa in molti template della famosa piattaforma WordPress, sta dando problemi di sicurezza in quanto evidenzia vulnerabilità che eventuali cracker potrebbero sfruttare per attaccare siti e blog che utilizzano tale piattaforma.

Mark Maunder, amministratore delegato di Feedjit, ha scoperto il problema quando il suo blog ha cominciato a caricare contenuti pubblicitari che originariamente non erano stati da egli stesso inseriti. Proprio sul blog ha parlato dal problema, spiegando che è correlato alla libreria timthumb.php, utilizzata dal tema che egli ha acquistato per il suo spazio web. «Dal momento che sono appena stato attaccato attraverso essa, immagino sia giusto parlare della vulnerabilità al grande pubblico», ha scritto Maunder.

TimThumb.php, continua, è “intrinsecamente insicuro” perché scrive i file in una directory quando si carica l’immagine e la si ridimensiona. Tuttavia, questa directory è accessibile alle persone che visitano il sito, diventando quindi fonte di attacchi per i pirati informatici. Un utente malintenzionato può anche compromettere il sito agendo direttamente dalla directory, “riempendola” di file infetti.

Non solo (aggiungiamo noi), il problema infatti non si limita solo a caricare file infetti ma anche file php maliziosi come le famose phpshell,  e nel caso in cui non fosse stato fatto hardening a livello di configurazione PHP (separazione privilegi con su_php o php-fpm, o la disabilitazione di funzioni pericolose come l’allow_url_fopen,system,exec,ecc…) può compromettere seriamente la sicurezza dell’intero server Web oltre che del vhost specifico.

Il tipo di attacco è quello comunemente definito RFI (Remote File Inclusion), http://it.wikipedia.org/wiki/Remote_File_Inclusion

Maunder ha dunque spiegato che al momento conviene disabilitare TimThumb o, al limite, limitarne l’accesso.

Per quanto il discorso di Maunder possa essere corretto e sensato, esso tende a creare dei fraintendimenti ad utenti WordPress e webmaster non troppo esperti.

Va ricordato infatti che timthumb non è un plugin di WordPress ma bensì un file php “sfuso” inserito come parte funzionale di molti template WordPress (ma non solo wordpress).

Risulta dunque impossibile disabilitare questo plugin da pannello di controllo come si farebbe normalmente nell’attivazione e disattivazione di plugin wordpress e sopratutto non bisogna illudersi che basti aggiornare la versione di WordPress attuale all’ultima stabile per risolvere questo problema.

Bisogna (purtroppo) fare un’attività di ricerca manuale nelle cartelle del proprio template, individuare il file timthumb.php (se presente) e sostituirlo con la nuova versione che potete scaricare qui http://code.google.com/p/timthumb/
Uomo avvisato …

Corsi e Voucher Alta Formazione: Linux, CED, Virtualizzazione, Cloud, PHP e MySQL

Dal 4 luglio 2011 al 4 agosto 2011 i cittadini RESIDENTI nelle Regioni Basilicata, Campania, Emilia-Romagna, Friuli Venezia Giulia, Lazio, Liguria, Marche, Puglia, Sardegna, Sicilia, Valle d’Aosta, Veneto potranno richiedere un voucher alla propria Regione per frequentare i corsi del Catalogo Interregionale 2011 dekka Cescot Veneto.

Advanced LINUX System Administrator

Obiettivi: fornire le competenze necessarie all’uso del sistema operativo open source LINUX
Durata: 160 ore di formazione + 40 ore di project work
Contenuti: Installazione Linux con ubuntu; distribuzione Debian; Installazione e configurazione di SAMBA; Installazione econfigurazione WebServer e DataBase Server; Firewall; Openvp; Open WRT; configurazione WEP/WPA

Progettista CED , Virtualizzazione e Cloud

Obiettivi: fornire le competenze avanzate in ambito virtualizzazione, IT management e cloud computing
Durata: 160 ore di formazione + 40 ore di project work
Contenuti: Creare una Sala Server (struttura fisica; sicurezza e privacy); Sistemi di virtualizzazione e cloud computing (virtual infrastructures; configurare e monitorare un sistema virtuale; Web 2.0; cluod computing; scenari di utilizzo)

PHP 6 e MYSQL

Obiettivi: imparare e utilizzare l’uso del linguaggio PHP 6 e le interazioni con il database MYSQL
Durata: 160 ore di formazione + 40 ore di project work
Contenuti: Design Patterns; Classe collection; Astrazione database; utilizzare i servizi del web; architettura dell’applicazione; application framework con PHP; Pianificare e gestire un progetto con PHP.

La richiesta di voucher avverrà sul portale www.altaformazioneinrete.it dopo avere effettuato la registrazione.
Per ricevere assistenza, informazioni e i contenuti dettagliati sui corsi Cescot Veneto collegatevi al sito www.cescotveneto.it, inviate una mail a info@cescotveneto.it oppure telefonate allo 049/8174610.

Skype ed Eutelia : Numeri Skype In Addio ?

Gli abbonati Skype che hanno un numero Skype (Skypein) italiano hanno ricevuto una mail che indica come Skype si appoggi ad Eutelia, ed Eutelia (in amministrazione controllata) non possa più garantire dopo il 28 Agosto prossimo le condizioni praticate fino ad ora ai clienti di Skype.

Andando sul sito di Skype si nota agevolmente come sia già sospesa la possibilità di attivare nuovi numeri Skype italiani.

Ecco per la cronaca il testo della mail che abbiamo noi stessi ricevuto :

Gentile dreamsnet.it
Ci rincresce informarti che dal 28 agosto, il nostro fornitore di Numeri online Eutelia Spa (in amministrazione straordinaria), non sarà più in grado di fornire i numeri con le stesse condizioni e modalità offerte fino ad ora.
Per poter continuare a fornire il servizio dopo il 28 agosto, stiamo lavorando attivamente con Eutelia S.p.A., il Ministero e altri fornitori di Numeri online in Italia. Se questa trattativa non dovesse avere successo, il tuo Numero online smetterà di funzionare il 28 agosto. Resta inteso che, se tale circostanza dovesse verificarsi, la parte di abbonamento al Numero online non utilizzata sarà risarcita e manderemo ulteriori informazioni sulla portabilità in Italia per un eventuale trasferimento del Numero online ad un altro fornitore.
Ci scusiamo in anticipo per il disagio causato da questa situazione che, purtroppo, non dipende dalla nostra volontà.
Sarà nostra cura fornire ulteriori informazioni sugli sviluppi di questa situazione,
Cordiali saluti.
Skype

L’unica cosa che ci rincuora è che i biglietti da visita, la carta stampata e le brochure andranno stampate in tipografia dopo l’estate. La possibilità almeno di effettuare le correzioni al numero telefonico (nel caso skypein muoia) ed evitare un danno economico non indifferente. Massima solidarietà a coloro che dovranno ristampare tutto.

AGGIORNAMENTO A MARTEDI 2 AGOSTO (ore 4:43)

A quanto pare sono diversi gli utenti incappati in questo increscioso inconveniente come si puù leggere nel forum ufficiale di Skype a QUESTO INDIRIZZO , e gli animi sono piuttosto (giustamente) agitati.

Utenti che hanno comprato software compatibili  certificati con Skype per valore di oltre 500 euro, che saranno del tutto inutili se il numero cesserà di esistere.

Utenti che hanno tutto il marketing della loro società (bigliettini da visita, volantini, gadget, pubblicità varie..) legato al numero online.

Oltretutto dare la notizia della cancellazione dei numeri di telefono nel mese di Agosto dove sono tutti in ferie è sicuramente il modo meno adeguato per permettere i clienti skype di contattare i loro clienti e fornitori e arginare in qualche modo questo scempio senza precedenti.

Qualcuno parla già di Class Action e credo che sia il minimo dati gli enormi danni che stanno causando con la loro superficialità e incompetenza.

Chi vivrà … vedrà !

AGGIORNAMENTO A GIOVEDI 4 AGOSTO : EUTELIA DA PRECISAZIONI SU SKYPE.

In un comunicato stampa inviato a Punto Informatico, Eutelia offre le proprie precisazioni rispetto alla possibile sospensione dei numeri Skype.

Eutelia S.p.A. in a.s. (ai sensi D.lgs 270/99) smentisce fermamente le notizie apparse in questi giorni a mezzo web originate dalla comunicazione inviata da Skype ai propri clienti sulla possibile sospensione, a partire dal 28 agosto 2011, dei servizi erogati a quest’ultimi attraverso l’utilizzo di numerazioni geografiche di Eutelia.

Le stesse sono erronee, destituite di ogni fondamento e potenzialmente lesive dell’immagine di Eutelia, infatti:

a) la sospensione dei servizi erogati da Skype non è in alcun modo riconducibile ad Eutelia che ha sempre continuato a garantire a tutti i propri partner commerciali nonché ai propri clienti finali la assoluta qualità e continuità dei propri servizi, anche oltre gli impegni contrattuali;

b) la sospensione dei servizi erogati da Skype ai propri utenti finali è esclusivamente riconducibile ad un recente provvedimento del Ministero dello Sviluppo Economico (prot. 59624 del 14 luglio 2011) che ha imposto ad Eutelia la disattivazione delle numerazioni geografiche di cui essa è titolare ed attraverso le quali Skype ha fino ad oggi potuto erogare i servizi agli utenti, non essendosi Skype conformata alla normativa italiana ed alle indicazioni al riguardo da tempo prescritte dal competente Ministero;

c) il provvedimento del Ministero dello Sviluppo Economico giunge all’esito di una serie di segnalazioni precedentemente inviate a Skype, sia dal Ministero che da Eutelia, con le quali infine il Ministero aveva intimato a Skype di conformarsi alla normativa italiana di settore avendo riscontrato delle anomalie relative al servizio in questione; nello spirito di collaborazione di Eutelia e nella volontà di coadiuvare il cliente Skype, Eutelia aveva immediatamente manifestato la propria disponibilità, tuttora attuale, a far sottoscrivere alla stessa un nuovo contratto che recepisse le indicazioni del Ministero: la proposta è ad oggi rimasta tuttavia disattesa da Skype.

d) ove permanesse questa situazione di stallo, come detto in alcun modo imputabile a Eutelia, ed in caso di sospensione dei servizi Skype, Eutelia farà quanto possibile per ridurre al minimo gli eventuali disservizi per l’utenza.

I Commissari Straordinari
Gianluca Vidal -Francesca Pace – Daniela Saitta