Autore Topic: SMF 2.0.5 aggiornamento critico di sicurezza  (Letto 2911 volte)

0 Utenti e 1 Visitatore stanno visualizzando questo topic.

Offline emanuele

  • Amministratore
  • *****
  • Post: 4851
    • Mostra profilo
    • ElkArte
  • Versione SMF: Altro
  • Versione ElkArte: 1.0.x
SMF 2.0.5 aggiornamento critico di sicurezza
« il: Martedì, 13 Agosto 2013 10:40 »
Ciao ragazzi,

La Simple Machines ha rilasciato un aggiornamento di sicurezza critico per SMF 2.0.x, portandolo alla versione 2.0.5.
Alcuni problemi di sicurezza sono stati individuati e corretti, si consiglia quindi di aggiornare quanto prima!

Se state usando 2.0.4, è possibile aggiornare il forum a 2.0.5 utilizzando il gestore dei pacchetti. Si dovrebbe vedere la notifica di aggiornamento nel pannello di amministrazione e nel gestore dei pacchetti, che consente di scaricare e installare senza problemi. Se non si dispone di una notifica circa l'aggiornamento, eseguire l'operazione pianificata "Fetch Simple Machines files" (In Italiano: "Carica i file Simple Machines").
È possibile anche scaricando l'aggiornamento da qui (Pagina Upgrades): smf_patch_2.0.5.tar.gz, ed installare usando il gestore pacchetti.

Se invece state ancora usando versioni più vecchie, si può procedere usando i pacchetti di upgrade nella pagina Download, oppure applicando sequenzialmente le patch dal gestore pacchetti.
È possibile scaricare anche il changelog completo nella stessa pagina.

Per informazioni, di seguito i manuali (in inglese):
* upgrading http://wiki.simplemachines.org/smf/Upgrading
* patching http://wiki.simplemachines.org/smf/Patching

Annuncio Ufficiale: http://www.simplemachines.org/community/index.php?topic=509417.0

Buon upgrade,
lo staff di Italian SMF
« Ultima modifica: Martedì, 13 Agosto 2013 11:54 da Darknico »

Offline stefano55

  • Newbie
  • *
  • Post: 7
    • Mostra profilo
  • Versione SMF: 2.0.x
Re:SMF 2.0.5 aggiornamento critico di sicurezza
« Risposta #1 il: Mercoledì, 16 Ottobre 2013 23:51 »
ciao, qual'è il modo migliore per ricevere un avviso quando viene aggiornato il software? ovvero c'è modo di ricevere automaticamante una mail? Non sempre vado sulla pagina admin del forum e quindi per due volte non mi sono accorto degli aggiornamenti (ad inizio anno ed adesso) e per due volte sono riusciti ad entrare e mandare spam dall'index file, con conseguente blocco da parte del provider

Offline emanuele

  • Amministratore
  • *****
  • Post: 4851
    • Mostra profilo
    • ElkArte
  • Versione SMF: Altro
  • Versione ElkArte: 1.0.x
Re:SMF 2.0.5 aggiornamento critico di sicurezza
« Risposta #2 il: Giovedì, 17 Ottobre 2013 00:11 »
Benvenuto Stefano! :)

Tre modi:
1) essere registrati sul sito ufficiale: http://www.simplemachines.org/community/index.php
2) sottoscrivere i nuovi topic per la board delle news: http://www.simplemachines.org/community/index.php?board=1.0
3) essere registrati su questo forum (ed eventualmente avere attive le notifiche per i nuovi topic in questa board).

Per quanto sul forum ufficiale sia il primo posto dove la notizia dell'aggiornamento viene rilasciata, il numero di utenti presenti fa sì che la mail impieghi anche una settimana ad essere inviata, quindi anche se IS (questo sito) arriva magari 24 ore dopo, è più probabile che la mail arrivi prima per via del numero ridotto di utenti a cui deve essere inviata, quindi direi che la soluzione più rapida è essere iscritti a questo sito. ;)

Detto questo:
e per due volte sono riusciti ad entrare e mandare spam dall'index file, con conseguente blocco da parte del provider
Spiega un po' meglio.
Per quanto mi ricordi, gli ultimi due aggiornamenti contenevano misure di sicurezza, ma niente che fosse *terribilmente* tragico: nessuna falla che permettesse "con facilità" di compromettere un forum, quindi: o stai parlando di "semplice spam" (ed allora ti rimanderei a questa guida), oppure è qualcosa di più serio che andrebbe analizzato.

Offline stefano55

  • Newbie
  • *
  • Post: 7
    • Mostra profilo
  • Versione SMF: 2.0.x
Re:SMF 2.0.5 aggiornamento critico di sicurezza
« Risposta #3 il: Sabato, 19 Ottobre 2013 18:42 »
Grazie delle indicazioni per attivare le notifiche.
In realtà almeno nel secondo caso avevo scritto che il sw non era aggiornato perchè quella era la indicazione che mi aveva mandato TCH quando aveva bloccato il forum, ma ho riscontrato non fosse vero

QUOTE
Dear customer,
We could find that 100s of spam mails were generating from your account
Please see the logs from the server:
.......
It seems that the Forum software(SMF: Simple Machines Forum) installed on your account has been exploited and sending spams from index file. I have locked down the folder '/forum' to prevent further abuse on the server. I am able to see that you are using outdated version of SMF on your account. Please update it to the latest stable version and update all other scripts to the latest version. Please review your account fully.
UNQUOTE

Dopo di questo mi hanno ridato l'accesso, ho controllato, e ho visto che la versione era 2.0.5, quindi aggiornata.
Ho fatto cambiare le psw agli amministratori del forum e come ulteriore suggerimento mi hanno scritto di:

QUOTE
Please review your account fully. Please check each and every file and scan them with any updated anti-virus software.
UNQUOTE

Non mi è chiaro cosa dovrei fare; io ho Kaspersky, ma come posso fare lo scan dei file del forum, e poi di quali file, tutta la cartella o tutto il sito che contiene anche il forum?

Purtroppo non siamo per niente esperti in queste cose!






Offline emanuele

  • Amministratore
  • *****
  • Post: 4851
    • Mostra profilo
    • ElkArte
  • Versione SMF: Altro
  • Versione ElkArte: 1.0.x
Re:SMF 2.0.5 aggiornamento critico di sicurezza
« Risposta #4 il: Domenica, 20 Ottobre 2013 11:25 »
A questo punto sarebbe utile vedere i log (se non vuoi metterli in pubblico mandami un PM), da quello che descrive parrebbe qualcosa relativo ad inviare email, ma è abbastanza vago...

 

SMF 2.0.6 e 1.1.19 aggiornamento critico di sicurezza

Aperto da DarknicoSezione Archivio Simple Machines

Risposte: 4
Visite: 3931
Ultimo post Mercoledì, 23 Ottobre 2013 13:12
da emanuele
SMF 2.0.9 e 1.1.20 aggiornamento critico di sicurezza

Aperto da DarknicoSezione Archivio Simple Machines

Risposte: 13
Visite: 5174
Ultimo post Venerdì, 10 Ottobre 2014 13:15
da Flavio93Zena
Rilasciato ElkArte 1.0.8 - Aggiornamento di sicurezza

Aperto da emanueleSezione Archivio ElkArte

Risposte: 21
Visite: 2492
Ultimo post Venerdì, 14 Ottobre 2016 11:11
da emanuele