Il titolo riassume il mio pensiero sulla vicenda che viene discussa in queste ore: sul blog di JoomlaTools è stato pubblicato un post in cui viene rivelata una vulnerabilità di Joomla, che riguarda le versioni da 1.5.2 a 1.5.7.
Niente di allarmante, in quanto questo problema coinvolge soltanto siti che consentono a chiunque di pubblicare articoli, e riguarda utenti con permesso più alto di "Author": permesso che dovrebbe essere accordato solo ad utenti fidati e con le dovute precauzioni.
Scoperta la vulnerabilità, il team di JoomlaTools l'ha comunicata prontamente al JSST (Joomla Security Strike Team).
Tale vulnerabilità è stata inserita nel bug tracker ed è poi stata eliminata; nessuno ha comunicato a JoomlaTools che come da prassi è stata tolta dal tracker per motivi di sicurezza, e se la sono presa parecchio pensando che fosse stata rimossa perchè considerata poco importante.
In realtà la patch per la risoluzione di questo problema era già stata inserita nel ciclo di Joomla 1.5.8, in rilascio tra 2 settimane.
Una brutta gaffe di ambedue le parti coinvolte, dovuta ad un chiaro problema di comunicazione.. è evidente chi sia in torto ma anche il progetto Joomla ha le sue responsabilità, in quanto dire "lo includeremo in joomla 1.5.8" non sarebbe stato male.
Pubblicare in questo modo un problema di sicurezza, per giunta su un blog molto frequentato come il loro, è da incoscenti. Il team di Joomla ha reagito in malo modo a questo "colpo basso" ed i membri di questa compagnia molto apprezzata (che si occupa di Nooku e DOCman) sono stati rimossi da ogni incarico ufficiale all'interno del progetto.
Tags: Joomla, Joomla 1.5.8, JSST, Sicurezza, Sicurezza JoomlaWe have ZERO TOLERANCE for this kind of behavior. The members in question have been removed from their respective Joomla positions. It's saddening that it had to come to that, but we must take a firm stand against such irresponsible acts.
- Post correlati:
October 21st, 2008 at 11:51 am
Le solite liti cazzose nel mondo del software libero… queste cose purtroppo succedono solo qui, bisogna prenderne atto
October 21st, 2008 at 1:04 pm
Mi è stato comunicato da Jennifer Mariott che il mio post è stato tolto da JoomlaConnect perchè citava il post incriminato.. così ho deciso di togliere il link diretto. E’ iniziato l’embargo.
Eh si succedono solo qui perchè si ha accesso al codice
October 22nd, 2008 at 3:36 pm
The blog post on the Joomla site is quite transparently a work of defamation at worst and an emotional outburst that should never have got past an editor. I for one support Joomlatools and have written as much personally to let them know their efforts are valuable and they should not take this latest bait from the core team. From team Joomla! I’d expect better.
October 22nd, 2008 at 3:59 pm
I understand what you’re saying Jon, there was a clear communication failure here.. but I think that the JoomlaTools guys didn’t do a nice thing and the Joomla team replied in a strong way, so that this kind of things won’t happen in the future.. why do you have to release an unofficial patch? That patch didn’t even fix the problem.. it cut a Joomla functionality.
October 23rd, 2008 at 10:41 am
Vero, la cosa peggiore per i bug di sicurezza è proprio che vengano diffusi. Ci saranno in giro già schiere di hacker con tempo da perdere, a provare a mettere in pratica questo exploit. Che poi, questa gente veramente ha tempo da perdere…
October 23rd, 2008 at 10:59 am
Si divertono così
Che ci vuoi fare? Poi pensano di essere Kevin Mitnick 
October 23rd, 2008 at 11:51 am
KM? Un altro di cui si può parlare tanto…
…comunque lasciamolo dire: JT ha fatto una cazzata spaventosa ed è stata giustamente punita… che poi la cosa “went public” è abbastanza penoso, e scadente anche, da parte del DevTeam, però una cazzata del genere comunque non potevano lasciarla passare tranquillamente…