LOLOpuntoES

Actualización a Wordpress 2.6.3

Sábado, 25 de Octubre de 2008

Los usuarios habituales de Wordpress, habreis podido observar como estos últimos días ha aparecido el la pantalla principal (dashboard en inglés, ignoro como lo tendrá traducido el que lo tenga en español) la existencia de una nueva versión del software. En concreto se trata de la 2.6.3 y, aunque en principio parece que no incorpora demasiadas novedades, sí que se hace necesaria su instalación o, al menos, el parcheo de un par de ficheros conflictivos.

Hace unos días se ha hecho pública una vulnerabilidad de Snoopy, una clase PHP utilizada por Wordpress para simular el comportamiento de un navegador a la hora de obtener contenido de otras páginas web o enviar formularios.

Input passed to the “_httpsrequest()” function isn’t properly sanitised before being used in an “exec()” call. This can be exploited to inject arbitrary shell commands via a script calling the “fetch()” or “submit()” function with an URL controlled by the attacker.

Es decir, existe una función exec tras una petición httpsrequest(), que no es convenientemente validada. Un posible atacante podría hacer una petición de este tipo a una página controlada por él, que devolviera código malicioso que se ejecutaría en nuestro Wordpress.

Si no quereis o podeis actualizar completamente a la nueva versión, sí que es conveniente que sustituyais los ficheros wp-includes/class-snoopy.php y wp-includes/version.php a los indicados en este página.

Como medida de seguridad adicional, para este fallo y los posteriores que pudieran producirse, os aconsejo que, en el caso en que vuestra plantilla muestre el número de versión exacto de Wordpress que estais utilizando la modifiqueis para no dar este tipo de información. Son muchas las búsquedas que llegan a mi página, por ejemplo, buscando versiones concretas de Wordpress con fallos de seguridad de este tipo.

Technorati Tags: , , , , , ,

Relacionado

Categorías Blogs, Hack, Seguridad, Web 2.0 | trackback | Sin Comentarios » | Visto 1497 veces

Responder

Amigo spammer Tenga en cuenta que este es un blog personal. El hecho de que no se penalicen los comentarios con la etiqueta nofollow no significa que pueda dejar cualquier dirección web como enlace. Todas las direcciones se revisan y, en el caso en que correspondan a webs comerciales que pretenden aprovecharse de la ausencia del atributo nofollow y el comentario no aporte nada a la conversación, serán marcadas como spam.

Las consecuencias de ser añadidas en la base de datos de Akismet pueden consultarse y discutirse en esta entrada.

XHTML: Puede usar las siguientes etiquetas: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

LOLO punto ES is proudly powered by WordPress
Entradas (RSS) y Comentarios (RSS).