Rilascio DNN 9.0.2 e Patch di Sicurezza

Rilascio DNN 9.0.2 e Patch di Sicurezza
Categorie: Moduli e Release

DNN ha rilasciato la versione 9.0.2 di DNN Platform ed Evoq. Questa release risolve un importante problema di sicurezza che rivela i dettagli dell'utente. Il rilascio 9.0.2, è accompagnato da una patch per risolvere il problema anche nelle versioni precedenti di DNN e Evoq.

Qual è la vulnerabilità?

DNN ha rilevato che è potenzialmente possibile scoprire i seguenti dettagli di un utente su una tipica installazione di DNN o di Evoq:

  1. Indirizzo e-mail
  2. Nickname
  3. Nome Utente

Possono essere scoperte ulteriori proprietà dei profili?

Quando si utilizza il "Tipo Form di Registrazione" Personalizzato e non il tipo Standard. In questo caso, le proprietà del profilo definite come "Campi di Registrazione" possono essere scoperte.

È possibile essere più specifici in merito a questa modalità personalizzata?

Tipicamente DNN Platform o Evoq contengono quasi 20 proprietà di profilo, come ad esempio nome, cognome, città, nazione, paese, numero di telefono, ecc. È possibile configurare il modulo di registrazione in maniera tale da mostrare uno o tutti questi campi. Tuttavia, la maggior parte dei siti prevedono solo una manciata di campi di registrazione al fine di semplificare il processo agli utenti. Questa vulnerabilità consente a chiunque di scoprire la maggior parte delle informazioni di registrazione presenti nel modulo. Utilizzando la configurazione standard, solo i tre elementi evidenziati in precedenza sono rilevabili.

Può essere scoperta la data di nascita?

La data di nascita non è definita come una proprietà di profilo generale, ad eccezione di Evoq Engage, dove è presente come una proprietà di profilo. Poiché la data di nascita è stata definita come tipo "Data", non può essere scoperta.

E la password?

Le password non possono essere scoperte.

Che dire in merito all'indirizzo?

Dipende se stai usando la modalità di registrazione personalizzata e se hai le proprietà relative all’indirizzo (via, città, regione, nazione, ecc), presenti nel modulo di registrazione.

Qual è il dato minimo che può essere scoperto?

L'indirizzo e-mail. La modalità personalizzata richiede che per la registrazione deve essere presente almeno una proprietà di profilo: l'e-mail.

È possibile creare un Super User con questa vulnerabilità?

No. Non è possibile apportare qualsiasi modifica ad un sito con questa vulnerabilità. Solo le proprietà di profilo di cui sopra possono essere visualizzate.

Questa vulnerabilità è presente nei moduli di 3e parti?

I test eseguiti da DNN hanno indicato che è presente in almeno un modulo di registrazione di 3e parti. Hanno provveduto ad informare tempestivamente il venditore che sta lavorando ad una nuova release. Se stai utilizzando un modulo di registrazione di 3e parti, allora ti consigliamo vivamente di contattare il venditore e di chiedere informazioni in merito a questa vulnerabilità.

Sono un venditore di un modulo di registrazione, cosa devo fare?

Contatta il team di sicurezza di DNN Corp per ottenere maggiori dettagli sulla vulnerabilità e poter fornire un aggiornamento del modulo. Il team di sicurezza è reperibile via e-mail all'indirizzo: security@dnnsoftware.com.

Ho creato un modulo personalizzato, cosa devo fare?

Contatta il team di sicurezza di DNN Corp per ottenere maggiori dettagli sulla vulnerabilità e poter fornire un aggiornamento del modulo. Il team di sicurezza è reperibile via e-mail all'indirizzo: security@dnnsoftware.com.

Quali versioni presentano la vulnerabilità rilevata?

Per i test effettuati da DNN, questa vulnerabilità è presente dalla 6.2 in poi.

Interessa sia DNN Platform che Evoq?

Sì, colpisce entrambe.

A quale rischio si va incontro se non si dovesse installare la patch o l'aggiornamento?

Un accesso e un possibile uso non autorizzato delle proprietà di profilo come Nickname, Nome Utente, Indirizzo E-mail, ecc di tutti gli utenti, tra cui i Super Users. È molto importante applicare la patch o l'aggiornamento alle ultime versioni.

Dovrei effettuare l'aggiornamento alla 9.0.2 e applicare anche le patch?

No. Solo uno è sufficiente. Non è necessario installare la patch dopo aver eseguito l'aggiornamento alla 9.0.2. L'ultima versione al momento della scrittura è 9.0.2. DNN consiglia sempre di aggiornare alla versione più recente.

Che cosa fa la patch?

La patch aggiorna il sistema di registrazione per correggere la vulnerabilità. Inoltre, crea una pagina di prova sotto Host per verificare se si ha installato la patch.

Quali versioni sono supportate dalla patch?

DNN Platform ed Evoq dalla versione 6.2 fino alla 9.0.1.

La patch corregge anche i moduli di 3e parti?

No. Se utilizzi un'estensione di registrazione di 3e parti, è necessario contattare il fornitore del modulo.

La vulnerabilità nel modulo di 3e parti verrà risolta automaticamente dopo l'aggiornamento alla 9.0.2?

I test di DNN indicano che i moduli di 3e parti dovrebbero venire corretti automaticamente. Tuttavia, è sempre meglio contattare il fornitore del modulo per assicurarsi che ciò accada. La 9.0.2 risolve sicuramente il problema quando non si utilizza un modulo di registrazione di 3e parti.

Come posso accedere a questa pagina host in DNN 9.0.0 e 9.0.1?

Accedere al sito come Super User (non Admin), fai clic su "DNN Security Hot Fix 1" sotto menu Gestione nella Persona Bar.

Non capisco cosa vedrò in questa nuova pagina Host, è possibile spiegarlo meglio?

Come osservato in precedenza, la patch crea una pagina sotto il menu Host. A seconda della configurazione del sito, si possono verificare tre possibili risultati:

  1. Sei protetto. Ciò sta ad indicare che il sito è "patchato". Tuttavia, se nel sito utilizzi un modulo di registrazione di 3e parti, DNN non è in grado di dirlo con certezza. Se non utilizzi un modulo di registrazione di 3e parti, allora DNN assicura che la patch è sufficiente. SecurityPatch DNN You Are Patched Messaggio
  2. Potresti non essere protetto. Nel momento in cui viene rilevata la presenza di una pagina di registrazione personalizzata e che la pagina contiene un modulo di registrazione non di DNN, viene comunicato che il sito potrebbe "non essere patchato". DNN elenca anche i siti nei quali trova un modulo di registrazione non standard. In questo caso, è necessario contattare il fornitore del modulo. SecurityPatch DNN You May Not Be Patched Messaggio1
  3. Potresti non essere protetto. C'è un'altra situazione nella quale si potrebbe non utilizzare una pagina di registrazione personalizzata, ma che un modulo di 3e parti potrebbe aver modificato la voce predefinita nella tabella ModuleControls per il record "Register". Dnn comunica che il sito potrebbe "non essere patchato", quindi contattare il fornitore del modulo. SecurityPatch DNN You May Not Be Patched Messaggio2

Posso disinstallare questa patch?

Potresti. Tuttavia, la correzione applicata rimane.

Cosa succede se il mio sito non dovesse funzionare correttamente dopo l'applicazione di questa patch?

Si consiglia di applicare questa patch in un ambiente di test, eseguire alcuni test e poi applicarla in produzione. Se il sito non dovesse comunque funzionare, si consiglia di inviare un commento qui. Prima di eseguire qualsiasi operazione, ricordarti di eseguire un backup del sito di produzione prima di applicare la patch.

La patch può essere sovrascritta se dovessi aggiornare DNN o Evoq in un futuro?

Finché l'aggiornamento a DNN o a Evoq è maggiore della 9.0.2, si sarà protetti. Tuttavia, se si esegue l'aggiornamento a una versione precedente (ad esempio 8.5), la patch verrà sovrascritta. Ti consigliamo di visitare nuovamente la pagina host qui sopra per applicare la patch automaticamente. In ogni caso, correrà ancora il rischio chi utilizza un modulo di registrazione di 3e parti. In quel caso, si consiglia di contattare il fornitore.

Sono un cliente Evoq, come posso avere maggiori dettagli?

I clienti Evoq possono contattare il supporto DNN via mail dnnsupport@dnnsoftware.com o con l'apertura di un ticket: http://www.dnnsoftware.com/services/customer-support/success-network/tickets.

Sono un utente DNN Community, come posso avere maggiori dettagli?

Ci sono alcuni modi per interagire ulteriormente:

  1. Utilizzare i commenti in questo blog
  2. Fai una domanda nel forum: http://www.dnnsoftware.com/forums

 

Che cosa fare se ho altre domande relative alla sicurezza?

Siete più che benvenuti a raggiungere il team di sicurezza di DNN inviando una mail a security@dnnsoftware.com.

Come faccio ad applicare la patch?

La patch è un normale modulo DNN, che può essere installato come qualsiasi altra estensione DNN. Ovviamente per farlo, devi essere un Super User.

Dove posso scaricare la 9.0.2?

È possibile scaricare, Installare e Aggiornare il pacchetto di DNN Platform 9.0.2 da GitHub Repository. Invece, i clienti Evoq possono scaricarla da qui.

Dove posso scaricare la patch?

È possibile scaricare il "DNN di sicurezza Hot Fix 1" da GitHub Repository. Ecco il link diretto: https://github.com/dnnsoftware/Dnn.Platform/releases/download/v9.0.2/DNNSecurityFix1_01.00.00_Install.zip

Visualizza articolo originale

^