In questi giorni si sta parlando molto sul Web del rapporto X-Force 2008 Mid-Year Trend Statistics pubblicato dall'IBM.
Questo rapporto ha steso una classifica dei software che hanno ricevuto più segnalazioni riguardanti la sicurezza; la top 10 risulta essere
- Apple 3,2%
- Joomla 2,7%
- Microsoft 2,5%
- IBM 2,3%
- Sun 1,9%
- Oracle 1,4%
- Cisco 1,4%
- Drupal 1,2%
- WordPress 1,1%
- Linux 1,0%
Ho evidenziato i CMS Open Souce presenti nella lista.
In particolare figura che Joomla sia uno dei software che ha visto più segnalazioni di problemi di sicurezza.
Una cosa deve essere chiara: questa lista non rappresenta i prodotti più vulnerabili, bensì i prodotti che hanno avuto maggiori segnalazioni sui più diffusi siti di sicurezza, come Secunia e SecurityFocus.
Analizziamo i dati.. Apple è la più quotata ultimamente, probabilmente perchè i suoi prodotti sono in una fase di grande diffusione e come si sa più persone usano un software, più i problemi vengono corretti.
Joomla è il secondo in classifica. A differenza di Apple questa volta non si tratta di una grossa casa produttrice di molti prodotti, bensì di un singolo software.
Quello che ho notato nel tempo seguendo gli avvisi di sicurezza è che i security advisory relativi a Joomla non riguardano praticamente MAI il software Joomla, bensì le estensioni realizzate da sviluppatori di terze parti... ed il 99% di questi problemi di sicurezza sono questioni legate all'SQL Injection.
Da qualche tempo mantengo un Feed RSS in cui elenco tutti gli advisory di sicurezza relativi a Joomla, vediamo quali sono quelli che ho rilevato negli ultimi 60 giorni:
- Joomla DT Register Component "eventId" SQL Injection
- Joomla! Prior to v1.5.4 Multiple Unauthorized Access Vulnerabilities
- Joomla! and Mambo altas Component 'index.php' Multiple SQL Injection Vulnerabilities
- Joomla! and Mambo DBQuery Component 'mosConfig_absolute_path' Remote File Include Vulnerability
- Joomla Brightcode Weblinks Component "catid" SQL Injection
- Joomla! and Mambo Versioning Component 'id' Parameter SQL Injection Vulnerability
- Joomla! and Mambo QuickTime VR Component 'room_id' Parameter SQL Injection Vulnerability
- Joomla! and Mambo 'com_xewebtv' Component 'id' Parameter SQL Injection Vulnerability
- Joomla! and Mambo 'com_beamospetition' Component 'pet' Parameter SQL Injection Vulnerability
- Joomla! and Mambo jabode 'id' Parameter SQL Injection Vulnerability
- Joomla nBill Component "cid" SQL Injection
- Joomla! and Mambo FacileForms Component 'ff_compath' Parameter Remote File Include Vulnerability
- Joomla! and Mambo galleries Component 'aid' Parameter SQL Injection Vulnerability
- Joomla JoomlaDate Component "user" SQL Injection
- iJoomla News Portal Component 'Itemid' Parameter SQL Injection Vulnerability
- Joomla! and Mambo JotLoader Component 'cid' Parameter SQL Injection Vulnerability
- Joomla GameQ Component "category_id" SQL Injection
- Joomla Rapid Recipe Component "recipe_id" SQL Injection
- Rapid-Source Rapid-Recipe Joomla! Component 'recipe_id' Parameter SQL Injection Vulnerability
- Joomla yvComment Component "ArticleID" SQL Injection
- Joomla EasyBook Component "gbid" SQL Injection
- Joomla Simple Shop Galore Component "catid" SQL Injection
- Joomla JotLoader Component "cid" SQL Injection
In sintesi: 22 problemi relativi ad estensioni, anche vecchie versioni ormai inutilizzate dai più ed estensioni poco diffuse; 1 problema relativo a Joomla, prontamente corretto con il rilascio della release 1.5.4.
Ecco spiegato perchè Joomla compare secondo in questa classifica. Il fatto che vi siano così tanti advisory è un bene perchè significa che il settore che ruota intorno a Joomla è molto frequentato e testato da molte persone competenti che condividono le proprie scoperte, non un luogo oscuro dove i problemi di sicurezza vengono scoperti e mantenuti segreti.
Tags: Joomla, Sicurezza, Sicurezza JoomlaArticoli correlati:
