Zikula.it

Sicurezza [1]: Problema di sicurezza con scribite! < 3.2 [2]

Inserito da Arthens il dic 19, 2009 - 07:48

Sicurezza [3]

Come molti di voi già sapranno scribite [4]! è un modulo che integra alcuni tra gli editor WYSIWYG [5] più famosi in Zikula, trasformando le textarea del vostro sito in mini editor di testo. L'ultima versione disponibile di scribite! (la 4.1) permette all'amministratore di scegliere tra xinha, openWYSIWYG, NicEdit e YUI. Tuttavia in passato sono utilizzati altri editor, tra i quali FCKeditor e TinyMCE, e proprio questi ultimi due contengono delle vulnerabilità che mettono a rischio il vostro sito.

Se state utilizzando scribite! 3.1 o procedente è importante rimuovere gli editor incriminati al più presto e, se usate Zikula 1.2, procedere all'aggiornamento del modulo. Continuate a leggere per maggiori dettagli.

La soluzione

 La procedura per eliminare la vulnerabilità è la seguente:

  1. Eliminare TinyMCPUK (incluso fino a scribite! 3.1 compreso) in /javascript/scribite_editors/tiny_mce
  2. Eliminare FCKeditor in /javascript/scribite_editors/fckeditor
  3. [Solo su Zikula 1.2] Aggiornare alla versione 4.1 o successiva

Importante: è strettamente necessario eliminare manualmente i file prima di aggiornare il modulo! Alcuni file si trovano in una posizione differente o hanno cambiato nome rispetto alla nuova versione, sovrascrivere il modulo non è quindi sufficiente ad eliminare la vulnerabilità.

La spiegazione

La vulnerabilità in questione è presente nei file manager degli editor WYSIWYG in questione e non ha nulla a che fare con Zikula o scribite! La sola presenza di questi file manager sul sito apre una breccia e, se la cartella è scrivibile, permette di caricare file bypassando i permessi di Zikula, con ovvie implicazioni per la sicurezza del sito. Una soluzione alternativa al problema è di cambiare i permessi delle cartelle di scribite e degli editor in modo che l'upload non sia possibile, tuttavia la completa eliminazione degli editor incriminati è la soluzione migliore.

Altre informazioni

scribite! continuerà a supportare TinyMCE ma senza il file manager incriminato, tuttavia l'efditor non è incluso in scribite! e va scaricato [6] ed installato a mano. FCKeditor verrà rimpiazzato da CKeditor [7] a partire dalla versione 4.2 di scribite! In futuro Zikula implementerà un file manager proprio, ovviamente compatibile con il sistema di permessi di Zikula.

Links

Potete scaricare l'ultima versione di scribite! da extDB [8].
Le versioni precedenti e quella di sviluppo possono essere trovate su CoZi [9].
Su Zikula.org [10] potete trovare la versione originale dell'articolo.

Saluti,
Lo staff di Zikula.it

Valutazione

Nessuno ha ancora valutato questa risorsa - sii il primo!!

Solo gli utenti loggati possono inviare commenti. registrati/log in [11]

 
Links
  1. http://zikula.it/Notizie/view/Main/Sicurezza/
  2. http://zikula.it/Notizie/2009/12/19/Problema-di-sicurezza-con-scribite-32/
  3. http://zikula.it/
  4. http://community.zikula.org/module-Extensions-display-ot-component-componentid-33.htm
  5. http://it.wikipedia.org/wiki/WYSIWYG
  6. http://tinymce.moxiecode.com/download.php
  7. http://ckeditor.com/
  8. http://community.zikula.org/module-Extensions-display-ot-component-componentid-33.htm
  9. http://code.zikula.org/scribite
  10. http://community.zikula.org/module-News-display-sid-3000.htm
  11. http://zikula.it/user.php