Sono disgustato, veramente disgustato e se non mi venisse chiesto da altri componenti dello staff la voglia sarebbe proprio quella di chiudere tutta la baracca, trovo veramente disgustosto ricevere email con ricatti ad una comunità che lavora nell'open source, solo per informarci di un bug in MDPro.

Trovo disgustoso richiederci soldi per farci conoscere dove è il problema con la minaccia in alternativa di informare qualche gruppo di hackers.

Trovo disgustoso trovare stamattia i siti di maxdev.com, maxdevitalia e persino quello della nostra associazione no profit gpldev, defaced, con vari dati cambiati e ribaltati, aggiunta scritte qui e la, veramente disgustato.

Come vogliamo chiamarle queste persone, persone ? hackers ? o cos'altro ?

E' stata rilasciata una fix di sicurezza per MDPro 1.076, tutti gli admins sono invitati ad aggiornare i propri siti al più presto.

La fix la potete trovare qui dovete semplicemente sovrascrivere i files nella rispettiva directory.

Stiamo lavorando alla stesura di nuova documentazione per MDPro, moduli, nuovi e non, sia per scrivere manuali, guide all'uso e tutorials.

Abbiamo bisogno di traduttori da e verso l'inglese, se qualcuno ha voglia/tempo di collaborare potete contattare direttamente Franco al seguente indirizzo franco at maxdev.com, il vostro aiuto potrà ovviamente permetterci di migliorare tutta la nostra documentazione a vantaggio di tutta la comunità

TiMax

Lo staff di MAXdev.com è stato informato di alcune vulnerabilità nel file error.php di MDPro 1.076 che potrebbe permettere di eseguire in alcune situazioni file locali tramite la variabile di sessione PNSVlang che è inclusa in error.php

Come al solito lo staff di MAXdev ha preparato immediatamente la fix di sicurezza ed è disponibile nella nostra sezione download,

RACCOMANDIAMO A TUTTI GLI ADMIN DI APPLICARE LA FIX IMMEDIATAMENTE!!

Ringraziamo inoltre Larsneo per la collaborazione

TiMaxProject Manager

Lo staff di MAXdev è satto informato di un problema di sicurezza con il modulo Lost Password potete leggere riguardo questo problema qui

Un altro bug è stato riscontrato nell'iserzione di oggetti, flash, video ecc, questo non è un problema di sicurezza ma abbiamo preso comunque l'occasione per rilasciare anche questa fixx.

Raccomandiamo sempre di mantenere l' AntiCracker attivo.

La fix è disponibile qui., per applicare questa fix semplicemente sovrascrivere i files.

Vogliate notare che MDStaff lavora sempre per mantenere MDPro stabile e sicuro, ed ancora una volta siamo riusciti a rilasciare la fix in meno di 24 ore dalla conoscenza del problema.

Raccomandiamo FORTEMENTE a tutti gli utenti di applicare questa fix al più presto, tutti i pacchetti di MDPro 1.0.76 sono stati aggiornati al 30/10/2006

TiMax

Lo staff di MAXdev è stato informato da http://www.jpcert.or.jp su alcuni problemi riscontrati sulla funzione pnVarCleanFromInput che avrebbero potuto permettere attacchi XSS ijection

Un altro piccolo bug è stato riscontrato nell'AntiCracker che poteva causare inefficenze, Per motivi di sicurezza raccomandiamo di utilizzare l'AntiCracker attivo, che poteva già bloccare la maggior parte di questi attacchi anche prima della fix.

La fix è disponibile nella nostra sezione download

Per gli MDBoosters, la MDLite è solo marginalmente afflitta, comunque le fix anche per la MDLite sono già sul nostro CVS e verrà rilascate con il prossimo rilascio di MDLite

Mille grazie a Masaki Kubo di JPCERT/CC per la loro assistenza nel portare alla nostra attenzione questi problemi e per i test delle fix's prima del loro rilascio.

Raccomandiamo tutti gli admin di installare questa fix sui propri siti al più presto, tutti i pacchetti di MDPro 1.0.76 sono stati aggiornati con queta fix dal 18/09/2006

PeteBest

E' disponibile nei nostri Downloads il manuale di amministrazione avanzata di MDPro in versione stampabile PDF: oltre 110 pagine che analizzano le varie gestioni di sistema secondo un criterio funzionale: la gestione delle sezioni amministrative, l'uso di AutoTheme con l'esempio della creazione da zero di un tema, la gestione dei Contenuti, la gestione di blocchi e moduli, la gestione della comunicazione con esempi pratici di come installare un forum, un calendario e come integrare un sistema di e-learning e la gestione degli utenti e delle autorizzazioni.

Lo staff di MAXdev è stato avvisato da  Andreas Krapohl [larsneo] della presenza di un problema di sicurezza scoperto da secunia.com  riguardante una vulnerabilità nella libreria Adodb utilizzata da molti applicativi tra cui MD-Pro.

VULNERABILTA'

Esecuzione di codice SQL via adodb (quando l'username è 'root' senza password)

Ecco la prima stesura del manuale di amministrazione di Md-Pro.

Speciale il capitolo 2:

Costruire il layout del sito con AutoTheme, una guida passo passo per principianti per creare un tema col noto motore grafico da zero, usando comandi avanzati e gli AutoBlocks.