Tag Archive for 'vulnerabilidade'

Vulnerabilidades criticas de segurança Joomla 1.5,2.5 e 3.X

Foi lançada hoje a versão 3.4.6 do Joomla que corrige uma grave vulnerabilidade de segurança entretanto descoberta sendo recomendado que actualize de imediato os seus sites que utilizam a versão 3.X do Joomla para esta nova versão.

Para além disso e em jeito de prenda de Natal (visto normalmente as versões em fim de vida (EOL) não receberem normalmente qualquer update, mesmo de segurança) dada a gravidade da vulnerabilidade encontrada foram ainda lançadas correcções de segurança para as versões 1.5 e 2.5 do Joomla que se encontram descontinuadas já à vários anos.
Estas correcções de segurança podem ser encontradas aqui sendo recomendada a sua aplicação imediata. A já muito antiga versão 1.0 do Joomla não é afectada por esta vulnerabilidade não existindo por isso correcção para a mesma.

De qualquer das formas a PTServidor recomenda que não utilize softeware descontinuado (no caso as versões 1.0,1.5 e 2.5) do Joomla ou de qualquer outro software pois para além de utilizarem tecnologias obsoletas coloca o seu site em risco de ser atacado por hackers.

Nova vulnerabilidade de segurança no TimThumb (0-day)

Foi descoberta uma grave vulnerabilidade no TimThumb 2.8.13 (e anteriores) que ainda não tem resolução sem ser a desactivação do “webshot” utilizado por alguns templates.
Considerando que já não é a primeira vez que ocorrem problemas de segurança com o TimThumb recomendamos a todos os nossos clientes que o deixem de utilizar de imediato (e apagando-o do servidor) substituindo o mesmo pela funcionalidade nativa do WordPress (the_post_thumbnail()) de criação de thumbnails sendo que para além de resolver os problemas de segurança aumentará a performance do site.
Para converter o seu template para a funcionalidade nativa do WordPress recomendamos a leitura a http://wpengineer.com/1930/the-ultimative-guide-for-the_post_thumbnail-in-wordpress-2-9/

Se utilizar um template da empresa http://themify.me/ o seu template estará vulnerável através da utilização do wordthumb (versão antiga do TimThmb) utilizada pelo ficheiro /themify/img.php presente na pasta do template.

Mais informações sobre a vulnerabilidade podem ser encontradas em  http://seclists.org/fulldisclosure/2014/Jun/117 e https://code.google.com/p/timthumb/issues/detail?id=485&thanks=485&ts=1403690188

Alerta de segurança: Vulnerabilidade timthumb

Há alguns dias atrás foi descoberta uma vulnerabilidade de segurança no script timthumb que esta presente em milhares de templates para wordpress criados pelos mais diversos autores e famosos clubes de template que permite criar automaticamente uma miniatura da imagem desse post.

Esta vulnerabilidade permite a inclusão de ficheiros no servidor o que poderá levar a casos de hacking e intrusão na sua conta de alojamento pelo que recomendamos que todos os nossos clientes cujos templates utilizem este script procedam de imediato à actualização do mesmo da seguinte forma:

1. Identificar se o seu template possui ou não este script.
Naturalmente, deverá entrar na pasta do seu theme localizada em /wp-content/themes e dentro da pasta do seu template verificar se possui algum ficheiro chamado timthumb.php, thumb.php ou similar.

2. Em caso afirmativo bastará substituir todo o código do ficheiro em questão pela nova versão do script timthumb que poderá ser encontrada aqui.

Seguindo estes dois simples passos irá poupar bastantes dores de cabeça. No caso de se tratar de um template pago recomendamos que visite o site do autor de forma a verificar se já foi disponibilizada alguma correcção oficial. Deverá ainda manter sempre TODOS os seus scripts e respectivos plugins ou componentes actualizados!

Alertamos ainda que este script poderá ser encontrado em sites que não utilizem WordPress pelo que deverá ter os mesmos cuidados.

No caso de ter duvidas em como poderá corrigir este problema ou no caso do seu site ter sofrido algum tipo de intrusão deverá contactar de imediato o nosso suporte tecnico!

Vulnerabilidades de segurança no OpenX

Foram detectadas na passada semana graves vulnerabilidades no famoso sistema de gestão de publicidade OpenX.

Estas vulnerabilidades, permitem essencialmente o acesso à sua conta com vista à injecção de conteúdo malicioso nos seus ficheiros

Como sempre, a nossa recomendação prende-se com a necessidade de manter SEMPRE os seus scripts actualizados pois, a cada nova versão além de serem incluídas novas funcionalidades são muitas vezes corrigidas vulnerabilidades e bugs. No entanto, neste caso especifico do OpenX recomendamos que siga as recomendações publicadas no blog da equipa.

Uma simples e cómoda forma de saber sempre quando existem actualizações dos scripts que utiliza é subscrever as mailling lists dos scripts que utiliza!