Sucuri, nome ben noto a chi si occupa di sicurezza, parla di una seria vulnerabilità su TimThumb, script per la manipolazione delle immagini utilizzato da molti temi e plugin per WordPress, ben noto in passato per analoghi problemi.
La vulnerabilità permetterebbe di creare, rimuovere e modificare file sul server da remoto, con tutti i rischi che ne conseguono.
Il problema riguarda l’opzione webshot, che in TimThumb è disabilitata di default, ma che temi o plugin che utilizzano questo script potrebbero aver attivata nelle loro impostazioni.
Sucuri consiglia di verificare, nei temi e plugin installati che eventualmente facessero uso di TimThumb, che l’opzione WEBSHOT_ENABLED sia impostata su false, o di impostarla in tal modo se così non fosse. Continua a Leggere →
Ho attivato su questo blog un alert negli articoli più vecchi di 6 mesi che parlano di cose più o meno tecniche, facendo notare che le informazioni contenute potrebbero non essere più valide. Un esempio lo potete ammirare qui.
L’ho fatto perché un giovane pirla visitatore ha trovato un mio post vecchio di due anni, ha apportato le modifiche indicate, e il suo sistema ha smesso di funzionare. Non pago della dormita di non guardare la data del post, dove per altro sono indicate versioni di software molto più vecchie di quelle correnti, mi ha scritto imbufalito nero che era tutta colpa mia.
Dopo lo scambio di un paio di mail allucinanti, giusto un pelo prima di dargli ufficialmente del pirla lasciarlo al suo destino, ha finalmente compreso la sua grossolana svista e si è scusato.
Mosso da compassione, visto che il giovane sprovveduto era preoccupato del datore di lavoro, non appena avrebbe scoperto che tutta la posta elettronica aziendale non funzionava, mi sono offerto di darci un’occhiata, senza impegno. Per tutta risposta lui, senza pensarci due volte, mi ha allungato via mail la password di root.
La password di root ad un perfetto sconosciuto? Via mail? Cosa non fa fare la disperazione…
Morale della storia, in meno di un’oretta gli ho sistemato il problema e ripristinato i servizi. Non ero sicuro di riuscirci ma è andata bene, mi sono rallegrato con me stesso di non aver perso lo smalto. Spero almeno che mi offra una birra… 😉
Cosa mi ha ricordato/insegnato tutto questo?
La password di root non la si passa a nessuno!!! Nemmeno a tua moglie, o al tuo miglior amico, figuriamoci ad un perfetto sconosciuto.
Se proprio serve dare un accesso da amministratore a terzi, si crea un account apposito, limitato rispetto a root.
Quando trovi un articolo tecnico interessante, guarda la data di pubblicazione
Se la data non c’è (capita purtroppo e giuro che non li capisco quelli che non la mettono) basati almeno sulle versioni di software e sistemi, se indicate.
Mettere un alert/disclaimer negli articoli più vecchi potrebbe essere una buona idea, quasi quasi lo faccio anche per Tevac.
Un alert per gli articoli più vecchi potrebbe essere un buon incentivo per cercare di aggiornarli, quando possibile.
Rimaniamo in contatto, iscriviti alla newsletter!
Inserisci il tuo nome e la tua mail, riceverai informazioni e barbatrucchi per gestire meglio il tuo sito e la tua comunicazione in rete.
Sucuri, nome ben noto a chi si occupa di sicurezza, parla di una seria vulnerabilità su TimThumb, script per la manipolazione delle immagini utilizzato da molti temi e plugin per WordPress, ben noto in passato per analoghi problemi.
