Foros de daboweb

MULTIMEDIA, Video digital, Grabación, Diseño gráfico, Diseño web, Programación => Webmasters - Diseño Web - Programación - Diseño gráfico => Mensaje iniciado por: ladyblues en 01 de Marzo de 2006, 11:10:49 pm

Título: Vulnerabilidad en wordpress 2.0 y 2.01
Publicado por: ladyblues en 01 de Marzo de 2006, 11:10:49 pm
Parece ser que existe una vulnerabilidad grave en las versiones más recientes de Wordpress (2.0 y 2.0.1).
Dos bugs que afectan al archivo wp-comments-post.php y a varios archivos de los directorios wp-admin y wp-includes. Hasta hoy la única sugerencia para evitar problemas era desactivar los comentarios en los mensajes y, aunque de momento no hay parche para solventar el problema se aporta una solución para ejecutar de forma manual editando algunos archivos.

Para el bug en wp-comments-post.php (multiple XSS):

Sustituir las líneas desde la 21 a la 24 por las siguientes:

Código: [Seleccionar]
$comment_author = htmlentities(trim($_POST[’author’]));
$comment_author_email = htmlentities(trim($_POST[’email’]));
$comment_author_url = htmlentities(trim($_POST[’url’]));
$comment_content = htmlentities(trim($_POST[’comment’]));

Para los archivos afectados (*) en los directorios wp-admin y wp-includes (Full path disclosure & Directory listing):

Añadir al principio de cada archivo afectado la siguiente línea:

Código: [Seleccionar]
if (eregi('name_of_the_file.php', $_SERVER['PHP_SELF']))
die('You are not allowed to see this page directly');

*Listado de directorios y archivos afectados en los que debemos poner esas líneas:

Código: [Seleccionar]
/wp-includes/default-filters.php
/wp-includes/template-loader.php
/wp-admin/edit-form-advanced.php
wp-admin/edit-form-comment.php
/wp-includes/rss-functions.php
/wp-admin/admin-functions.php
/wp-admin/edit-link-form.php
/wp-admin/edit-page-form.php
/wp-admin/adm in-footer.php
/wp-admin/menu-header.php
/wp-includ es/locale.php
/wp-admin/edit-form.php
/wp-includes /wp-db.php
/wp-includes/kses.php
/wp-includes/vars .php
/wp-admin/menu.php
/wp-settings.php

Fuente; http://www.neosecurityteam.net/index.php?action=advisories&id=17

Más información; http://www.frsirt.com/english/advisories/2006/0777

Título: Re: Vulnerabilidad en wordpress 2.0 y 2.01
Publicado por: Dabo en 02 de Marzo de 2006, 12:49:50 am
Gracias por la info, he reseñado aquí desde Daboblog y voy con Daboweb -:)
Título: Re: Vulnerabilidad en wordpress 2.0 y 2.01
Publicado por: Liamngls en 02 de Marzo de 2006, 01:07:24 am
Gracias por la info :-)
Título: Re: Vulnerabilidad en wordpress 2.0 y 2.01
Publicado por: ladyblues en 06 de Marzo de 2006, 03:27:31 pm
Parece ser que apartir de mañana Martes puede salir un parche de wordpress (2.02) que corregirá un fallo de seguridad y algunos otros errores.

Se dice, se cuenta, se rumorea que este parche no servirá para el tema de "listar directorios" (Full Path Disclosure) ya que wordpress considera que es un problema de nuestra configuración de servidor y no del CMS. Todavía no sé si le encuentro sentido a esto o no.

En cualquier caso, la peña de wordpress deja bastante que desear en cuanto a facilitar información de vulnerabilidades y parches.
Y a ver si sacan un editor decente.
Y sin embargo... te quiero, wordpress.

Saludos.
Mabel
Título: Re: Vulnerabilidad en wordpress 2.0 y 2.01
Publicado por: Liamngls en 06 de Marzo de 2006, 03:33:06 pm
Estos son primos hermanos de los de phpBB ... este parece un buen momento para montar un supermacroforo sobre WP y hacer un par de escisiones en el equipo de desarrollo  :dabo:
Título: Re: Vulnerabilidad en wordpress 2.0 y 2.01
Publicado por: ladyblues en 06 de Marzo de 2006, 03:53:08 pm
Yo me apunto, y hasta cicuncisiones si procede. ;-)

A ver mañana... o pasado, que no me mola esttar con las actualizaciones chefas, quiero las oficiales!!

Mabel
Título: Re: Vulnerabilidad en wordpress 2.0 y 2.01
Publicado por: halo en 06 de Marzo de 2006, 04:20:48 pm
Htmlentities, si no se especifica lo contrario, funciona con ISO-8859-1, mientras que WP usa UTF-8 (visto del código fuente de daboblog). Para solucionar el problema de los acentos y debéis marcarle UTF-8 o hacer, tal vez, una conversión posterior con utf8_encode.

Saludos.
Título: Re: Vulnerabilidad en wordpress 2.0 y 2.01
Publicado por: ladyblues en 07 de Marzo de 2006, 08:53:18 pm
Muchas gracias Htmientities ;-)
Tal y como esperaba se retrasa la versión de wordpress 2.02 pero hay ya rulando por ahí una release que podéis instalar bajo vuestra responsabilidad jejeje, qué bonito queda decir esto.

Aquí Nighty Builds (http://static.wordpress.org/builds/)
Parece ser que no tardará mucho en salir la refinitiva.

Saludos
Mabel
Título: Re: Vulnerabilidad en wordpress 2.0 y 2.01
Publicado por: Liamngls en 08 de Marzo de 2006, 10:02:40 am
Si le vais a poner un parche hasta que salga uno oficial ... que sea uno bueno ...

http://www.daboblog.com/2006/03/08/parche-para-wordpress-20-201-y-202-rc1-full-path-disclosure-los-17-archivos/
Título: Re: Vulnerabilidad en wordpress 2.0 y 2.01
Publicado por: ladyblues en 08 de Marzo de 2006, 12:17:57 pm
Ya lo dije en el daboblog, muy currado. Cuando lo ví esta mañana flipé. Me consta que estuvo Dabo probando y dándole gas a la movida y probando código como un loco. :-)

Gracias, a mí esto empezaba a tenerme demasiado preocupada y no veía un arreglo fiable, cascaba el template, cascaba todo, los comentarios... ufffff me estaba empezando a poner de mala ostia.

Un abrazo, Damborio.
Mabel
Título: Re: Vulnerabilidad en wordpress 2.0 y 2.01
Publicado por: halo en 08 de Marzo de 2006, 12:23:48 pm
Siento ser "aguafiestas" pero ese blog sigue mezclando codificaciones.  :triston:
Título: Re: Vulnerabilidad en wordpress 2.0 y 2.01
Publicado por: ladyblues en 08 de Marzo de 2006, 03:16:36 pm
Bien, se han añadido respuestas en el blog de Dabo que creo que son más que interesantes en lo que a este polémico tema respecta.
Muy "JEVI" la movida. Muy JEVI el curro... bueno, en fin, leedlo vosotros mismos!

Pinchad aquí (http://www.daboblog.com/2006/03/08/parche-para-wordpress-20-201-y-202-rc1-full-path-disclosure-los-17-archivos/#comment-649)

Mabel
Título: Re: Vulnerabilidad en wordpress 2.0 y 2.01
Publicado por: ladyblues en 08 de Marzo de 2006, 04:08:07 pm
Parcheados mis dos blogs. No noto problemas de codificación y ahora no casca nada. Va de narices, la verdad.
:-)

Saludos!
Mabel
Título: Re: Vulnerabilidad en wordpress 2.0 y 2.01
Publicado por: halo en 08 de Marzo de 2006, 04:58:15 pm
Que no se vean no quiere decir que no estén. :-d En el de Dabo tampoco se ve nada raro.
Título: Re: Vulnerabilidad en wordpress 2.0 y 2.01
Publicado por: Dabo en 08 de Marzo de 2006, 05:44:28 pm
Hola bro, el problema o mi problema era salvar lo de las tildes y algo más asi que tengo una mezcla entre la 2.0 , un trunk que liberaron de la pre Release y de la propia release  :-d :ciego: |o| así que no te fies mucho, ahora bien, me lo estoy pasando de la hostia pero vaya, en cualquier momento me cargo algo XD.

De todos modos con los archivos modificados no hay pegas para el usuario que tenga esos .php sin nada más que lo estandar que suele ser lo común al no ser tampoco del template. Ya lo explico todo en el Daboblog pero vaya, no está de más repetirlo, para explotar la vuln XSS hace falta tener privilegios de Admin  con lo que no es realmente preocupante, lo del listado o ruta de archivos puede afectar más según en que sites. Lo peor es que Wordpress no lo arregla porque no quiere,hace unos días le cerraron un post en el propio foro de Wordpress a uno que decía a ver si lo iban a arreglar, no les cuesta nada y no es la filosofia que se pretende o al menos así lo creo yo. LA versión RC va bien y no he visto problemas, tengo instalados unos cuantos y voy trasteando pero vaya, del mío no os fieis que está muy "tunneado" XD.

Por ejemplo tengo pendiente hacer alguna movida con los ultimos comentarios y cosas así para que no "casque" segun que circunstancias pero voy sin prisa y a mi ritmo.

Un saludo, sobre esto hablaré en el blog y si veo algo interesante lo posteo aquí que no quiero aburrir en los dos lados -:)
Título: Re: Vulnerabilidad en wordpress 2.0 y 2.01
Publicado por: halo en 08 de Marzo de 2006, 08:23:09 pm
Hombre, yo esa "vulnerabilidad" no la considero tal desde el momento que es necesario ser administrador. Tampoco digo que siempre que se necesite ser administrador para hacer algo lo exima de ser una vulnerabilidad, pero uno no injecta código malicioso por casualidad. No es un "ay, he pinchado aquí y he jodido la BD", es mucho más complejo.

Con respecto al listado la verdad es que no sé muy bien de qué va el tema, así que no opino.

Filosofías hay muchas, no hay una universal. Tampoco sabes qué filosofía tienen en WP. Es posible que cada uno de los que aportan su grano de arena en ese proyecto tenga la suya propia y personal. Piensa una cosa, si tú mismo reconoces que esa "vulnerabilidad" es sólo aprovechable por el administrador y, al menos según ellos, el tema del listado tiene que ver con la configuración del servidor, ¿realmente crees que están midiendo mal los riesgos? Eso lo dirá el tiempo, y mientras no aparezcan tropecientos WPeses crackeados ellos tendrán razón y habrán sabido medir bien los riesgos. Por supuesto lo contrario te dará a tí la razón, faltaría plus.

Saludos codificaos. :-d
Título: Re: Vulnerabilidad en wordpress 2.0 y 2.01
Publicado por: ladyblues en 10 de Marzo de 2006, 10:14:07 am
Pues ya no es cuestión de que aparezcan 200 Wp crackeados, es cuestión de haber parcheado el WP 200 veces que es mucho peor.
Esta movida me ha recordado a los lemmings, todos de cabeza por el barranco y WP pasando de todo. Vamos hombre que se solventaba con un código de nada en 17 archivos. Pues no, venga dadle gas a vuestro server y hagámoslo por la vía difícil. Lo de XSS efectivamente era lo de menos pero parece ser que iban a sacar una versión oficial que solucionaba este problema, supuestamente el martes pasado y aquí estamos esperando. ¿Tú has visto la versión 2.02? porque yo no. A no ser que haya salido hoy mientras escribo esto... pero no, porque acabo de mirar.

A ver si es que están dejando de aportar granitos de arena. Yo lo haría pero no programo nada bien, estaría todo el día metiendo comillas dobles y demás ;-)

Saludos.
Mabel
Título: Re: Vulnerabilidad en wordpress 2.0 y 2.01
Publicado por: ladyblues en 10 de Marzo de 2006, 11:09:34 am
Pues señores, aquí está.

Información aquí (http://www.daboblog.com/2006/03/10/wordpress-2-0-2-security-release-version-estable-para-descargar/)
Título: Re: Vulnerabilidad en wordpress 2.0 y 2.01
Publicado por: ladyblues en 10 de Marzo de 2006, 02:58:11 pm
Hola, acabamos de probar el nuevo parche y no sirve de nada para el full path disclosure. De momento me quedo con el anterior parche facilitado por Dabo. Sólo cambia la movida de XSS que sabemos todos que no era ni medio grave. Me preocupa arrastrar esta vulnerabilidad en cada nueva versión. Si se actualiza la versión y nunca cambian (por cabezonería) esa movida ¿qué? dejadez, dejadez y más dejadez con dósis de cabezonería y pasotismo.

En fin, más info en:

http://www.daboblog.com/2006/03/10/wordpress-2-0-2-security-release-version-estable-para-descargar/

Título: Re: Vulnerabilidad en wordpress 2.0 y 2.01
Publicado por: halo en 10 de Marzo de 2006, 06:17:46 pm
Pues ya no es cuestión de que aparezcan 200 Wp cr..keados, es cuestión de haber parcheado el WP 200 veces que es mucho peor.
Esta movida me ha recordado a los lemmings, todos de cabeza por el barranco y WP pasando de todo. Vamos hombre que se solventaba con un código de nada en 17 archivos. Pues no, venga dadle gas a vuestro server y hagámoslo por la vía difícil. Lo de XSS efectivamente era lo de menos pero parece ser que iban a sacar una versión oficial que solucionaba este problema, supuestamente el martes pasado y aquí estamos esperando. ¿Tú has visto la versión 2.02? porque yo no. A no ser que haya salido hoy mientras escribo esto... pero no, porque acabo de mirar.

A ver si es que están dejando de aportar granitos de arena. Yo lo haría pero no programo nada bien, estaría todo el día metiendo comillas dobles y demás ;-)

Saludos.
Mabel

Te veo algo catastrófica con la comparación de los lemmings esos. :-d
En realidad no has parcheado el WP 200 veces, es que has metido parches que has terminado parcheando, es decir, lo que estás parcheando son los mismos parches. A estas alturas yo me pregunto: ¿para qué? Si se necesita ser administrador para inyectar código y vosotros tenéis configurado el servidor para no mostrar el listado de archivos y carpetas (que también hay que decir que ésto en si mismo no es peligroso), ¿para qué os habéis liado a parchear (excluyo de aquí el parche oficial, me refiero a los otros) si no os hace falta?. Yo lo que veo es que esos parches se han cargado la codificación y no os sirven para nada.

Sobre el retraso, si partimos de la base de que la situación no es grave (para vosotros sí, pero es subjetivo mientras no se pueda cuantificar), ¿qué problema hay? ¿Quieres que saquen un parche el martes y otro hoy? En el CVS puedes ver la cantidad de modificaciones que trae cualquier CMS, ¿hacemos una versión para cada una de ellas? No se puede, habrían días que incluso parchearías 2 ó 3 veces. Ellos gestionan de tal manera que al usuario también le resulte cómodo. Y para el usuario es más cómodo una acumulación de correcciones al mes, que 1 cada dos o tres días.

Saluetes. :-d
Título: Re: Vulnerabilidad en wordpress 2.0 y 2.01
Publicado por: ladyblues en 10 de Marzo de 2006, 07:52:27 pm
Halo, a mí la movida XSS (a la que te refieres en tu respuesta) no me preocupaba, me preocupada el full path disclosure. En cualquier caso yo he usado el parche de Dabo y me he olvidado de la vulnerabilidad, la cual, parece ser que no desaparece con la nueva versión liberada hoy por wordpress.

En fin, espero que ahora entiendas el por qué de mi interés en parchear mis blogs y los de mis colegas ;-)

Saludos.
Mabel
Título: Re: Vulnerabilidad en wordpress 2.0 y 2.01
Publicado por: halo en 10 de Marzo de 2006, 08:32:29 pm
Halo, a mí la movida XSS (a la que te refieres en tu respuesta) no me preocupaba, me preocupada el full path disclosure. En cualquier caso yo he usado el parche de Dabo y me he olvidado de la vulnerabilidad, la cual, parece ser que no desaparece con la nueva versión liberada hoy por wordpress.

En fin, espero que ahora entiendas el por qué de mi interés en parchear mis blogs y los de mis colegas ;-)

Saludos.
Mabel

Hola Mabel

Me refiero a las dos (hablo también del listado de archivos y carpetas). Es que aunque no hubieras parcheado, no te hubiera afectado. Vamos, que no has estado en peligro en ningún momento. De ahí que no entienda porqué le dáis una importancia que realmente no tiene.

Saludos. :-d
Título: Re: Vulnerabilidad en wordpress 2.0 y 2.01
Publicado por: ladyblues en 10 de Marzo de 2006, 08:36:42 pm
No te debes referir a los dos, ya que el full path disclosure nada tiene que ver con que precises la cuenta de root. A mí no me motiva en absoluto que poniendo una ruta de un archivo salga listado hasta el apuntador, que era lo que estaba pasaqndo y eso es poner un poco más a tiro las cosas. No parchearlo sería toda una dejadez y falta de preocupación por la seguridad y la verdad, me sorprende que haya tanto pasotismo al respecto. La seguridad es lo primero, luego nos quejamos ;-)

Y bueno, me vas a disculpar, puede que para ti no tenga importancia el hecho de que se vean muchos directorios de tu servidor por el morro, pero para mi sí. Supongo que son formas distintas de entender la seguridad.

Saludos :-)

Mabel
Título: Re: Vulnerabilidad en wordpress 2.0 y 2.01
Publicado por: halo en 10 de Marzo de 2006, 08:57:29 pm
Hola Mabel

Me refiero a las dos, me cito a mí mismo:

Citar
Si se necesita ser administrador para inyectar código y vosotros tenéis configurado el servidor para no mostrar el listado de archivos y carpetas...

Dos soluciones para dos problemas. :-d De todas maneras si en su momento no me explique bien, lo aclaro: me refiero a las dos.

El que se muestre o no el listado tiene que ver con la configuración del servidor, no con WP, de hecho el parche que metéis no impide, evalua y ejecuta, porque tales archivos no muestran ningún contendido por si mismos.

Yo no lo veo pasotismo, es que creo que cada palo ha de aguantar su propia vela y no entiendo porque algo que depende de la configuración del servidor se lo achacáis a WP. Es que un buen código, lo que todos queremos, ha de evitar las redundancias.

No son maneras de ver la seguridad diferentes, sino de establecer competencias. Es diferente.

Saluetes. :-d
Título: Re: Vulnerabilidad en wordpress 2.0 y 2.01
Publicado por: ladyblues en 11 de Marzo de 2006, 12:05:55 am
Como decía aquel refrán de un maestro saolín que conocí en Granollers: "Dos no discuten si uno no quiere" ;-) Un saludo y muchas gracias por la charla Halo, ha sido interesante. :-)

Mabel
Título: Re: Vulnerabilidad en wordpress 2.0 y 2.01
Publicado por: halo en 11 de Marzo de 2006, 07:25:05 am
Hay muchas clases de discusiones, ésta ha sido interesante y con un tono cordial entre dos compañeros foriles, no creo que el maestro ese estuviera pensando en este tipo de discusiones cuando dijo lo que dijo y cuando lo dijo.

Es, o hubiera sido, interesante seguir y sacar una conclusión, más que nada porque esa información no es privada, es pública, y hay gente afectada por esas "vulnerabilidades", pero también las hay que no saben qué están haciendo cuando parchean o si realmente es necesario.

En cualquier caso, ha sido un placer. :-d

Un saluete, Mabel. ;-)
Título: Re: Vulnerabilidad en wordpress 2.0 y 2.01
Publicado por: Liamngls en 11 de Marzo de 2006, 07:59:09 am
Entonces hemos quedado en que cualquier vulnerabilidad por leve que sea debe ser parcheada a la mayor brevedad porque lo que hoy es una inocente tontería mañana puede ser un agujero de seguridad importante ¿ no ?
Título: Re: Vulnerabilidad en wordpress 2.0 y 2.01
Publicado por: halo en 11 de Marzo de 2006, 08:27:29 am
Entonces hemos quedado en que cualquier vulnerabilidad por leve que sea debe ser parcheada a la mayor brevedad porque lo que hoy es una inocente tontería mañana puede ser un agujero de seguridad importante ¿ no ?

Hola Liamngls :)

No es exactamente como lo planteas, pues tal y como lo planteas lo mejor sería no usar ningún tipo de CMS. Se trata de llevar el mantenimiento de una web gestionada a través de un CMS.

Éste que planteo sería un plan ->

Mantenimiento correctivo:


Mantenimiento preventivo sistemático:


Mantenimiento preventivo predictivo:


Mantenimiento modificativo:


Teniendo en cuenta esas claves (que pueden ser más o menos, seguro que se me olvida más de una interesante) han de crearse las rutinas.

Las "vulnerabilidades" encontradas, una vez evaluadas, forman parte del mantenimiento correctivo para todos aquellos que tienen correctamente configurado el servidor. Para los que no lo tienen entraría a formar parte del modificativo, el correctivo le corresponde a la configuración del servidor.

Edito: he hecho una modificación en los preventivos. Creo que así está mejor y no afecta a la conclusión final. Aunque la aplicación de este plan a la web no implica, según casos, la parada de la web creo que ahora está mejor clasificado.

Saluetes. :-d
Título: Re: Vulnerabilidad en wordpress 2.0 y 2.01
Publicado por: Dabo en 11 de Marzo de 2006, 03:13:38 pm
muy bueno Halo, estoy de acuerdo con todos en general,todos decis cosas muy lógicas, voy a comentaros algo que todavía no he puesto en el Daboblog y que me queda pendiente, la configuración del php en un sistema en producción , debe tener la variable en el php.ini "display_errors" a Off, de este modo, es imposible que se vea el path cuando falle el php.

Partiendo de esa base, cuando Wordpress dice "es un problema de configuración del servidor, no nuestro", llevan su parte de razón. Donde tengo sentimientos encontrados es con una cosa, es una línea de código que no afecta para nada a la aplicación y es facilisimo, hay gente que no tiene acceso a ese tipo de configuraciones, un hosting compartido, el tipico en el que están alojadas 200 o 500 webs, ahí no hay nada que hacer por parte del usuario, o parcheas o nada.

Además se puede tener el que muestre errores en "off" y por detrás que esté corriendo un log en el que el administrador pueda ver que falla. Hay gente a la que le gusta tenerlo en "on" por no tirar de un log y porque sabes al momento que falla pero como digo, cuando el sistema está a punto, no tiene lógica tenerlo activado.

El problema es que ver el path en si no es un problema, hay cosas más graves pero cuando ciertos ataques o exploits van como más directos cuando sabes la ruta pues no se, son 2 líneas de código, lo hacen bien, el software es bueno y mucha gente lo usamos pero la crítica y la autocrítica creo que siempre es buena -:)
Título: Re: Vulnerabilidad en wordpress 2.0 y 2.01
Publicado por: Paulet en 13 de Marzo de 2006, 03:47:22 pm
buenas

interesante hilo, con visiones diferentes, pero denoto sobre el tema demasiado alarmismo, hasta la fecha no correspondido con la realidad, cojonuda tu exposición halo, y excelente tu plan, habrá que tomar nota

salu2
Título: Re: Vulnerabilidad en wordpress 2.0 y 2.01
Publicado por: Dabo en 13 de Marzo de 2006, 05:22:57 pm
Hola, pues si que está interesante la verdad, yo no puedo estar mucho pero está muy bien, Pau lo de alarmismo o no es cuestion de puntos de vista, hay un montón de sites con el path visible y de todos modos, a lo de Halo yo añadiria alguna cosa más, eso que comenta es más o menos lo normal o lo que debería hacer alguien que se preocupa por lo que tiene funcionando  pero asi rápido y sin tiempo algo que he dicho en el foro de Linux, trabajar localmente con las aplicaciones y probar y testear hasta que te aburras y luego subirlo, se puede hacer también mucho a nivel de Apache y además de todo eso expuesto que está muy bien y si no queréis tener problemas con muchas aplicaciones potencialmente peligrosas probar  mod security, http://www.modsecurity.org , un firewall de aplicaciones compatible con vuestro iptables que además de Open Source tiene el reconocimiento de una gran parte de la comunidad de seguridad. Puede que salg aun Bug para vuestro CMS y que sin estar parcheado no llegue  a afectaros, leer los doc y me contáis.

Ya digo, se podría hacer mucho tambien con MySQL, comprobar que tipo de conexiones escucha (locales, remotas), puertos etc etc , afinar el PHP y como he dicho un montón de cosas a nivel de Apache pero vaya, sigo diciendo que para Wordpress tapar eso es un momento, si ellos no quieren pues es cuestion de Wordpress y cada uno que haga lo que estime conveniente, eso si, si el server no tiene configurado el PHP como os comentaba, no parchearlo sería asumir un riesgo de seguridad innecesario aunque  la mayor seguridad es quitar el Cable XD.

Me ha encantado charlar con vosotros bros, dejo este hilo para meterme en otros lios XD, siempre se aprende mucho con tan buenos ponentes :D
Título: Re: Vulnerabilidad en wordpress 2.0 y 2.01
Publicado por: Dabo en 13 de Marzo de 2006, 05:44:07 pm
De todos modos estoy leyendo el hilo entero como a nosotros nos gusta comentar sobre lo que sea (a mi el primero) puede que alguno se "asuste" un poco con tanta información XD.

Porque ya estamos casi hablando de seguridad a nivel de server y ahí cada maestrillo tiene su librillo

Resumen rápido;

Había una vulnerabilidad en Wordpress XSS que para mi no lo es tanto al necesitar estar loggeado como admin en vuesto wp. Ese tema se ha corregido.

Luego hay un Bug provocado por la relacion entre 17 archivos que al ser invocados via navegador, fallan y devuelven el "path" o la ruta completa de vuestro wp o resto de webs, esto lo podéis comprobar escribiendo;

www.vuestrodominio/wp-settings.php

Si aparece un mensaje así; (sacado de un site no pequeño precisamente)

Warning: main(ABSPATHwp-includes/wp-db.php): failed to open stream: No such file or directory in /home/XXXXXXXXX/public_html/wp-settings.php on line 73

Fatal error: main(): Failed opening required 'ABSPATHwp-includes/wp-db.php' (include_path='.:/usr/lib/php:/usr/local/lib/php') in /home/XXXXXXXXX/public_html/wp-settings.php on line 73

Donde /home/XXXXXXXXX/public_html/  es el path o la ruta

3 opciones,

1ª, hacéis click en la url que os he puesto y os sale en blanco, vuestro server está bien configurado

2ª, hacéis click y se ve algo como lo que os he puesto, parcheais los 17 archivos o cogéis el que he parcheado yo

3ª, hacéis click, sale lo de arriba (el path) no hacéis nada y el path será visible

Saludos !

Título: Re: Vulnerabilidad en wordpress 2.0 y 2.01
Publicado por: halo en 13 de Marzo de 2006, 06:37:14 pm
Hola Dabo :-d

Citar
Hola, pues si que está interesante la verdad, yo no puedo estar mucho pero está muy bien, Pau lo de alarmismo o no es cuestion de puntos de vista

Con el paso del tiempo se vuelve cuantificable. Cuando es reportado un error de seguridad al bug tracking correspondiente lo primero que se hace es probarlo y lo siguiente evaluar riesgos. Si se decide solucionarlo en el CVS y consideran que no es necesario sacar una nueva versión, el hecho de que pase el tiempo y no aparezcan casos de gente afectada les da la razón. Se evaluó correctamente el riesgo.

Citar
Hay un montón de sites con el path visible

Hayan muchos o hayan pocos sigue siendo cosa del servidor.

Citar
y de todos modos, a lo de Halo yo añadiria alguna cosa más, eso que comenta es más o menos lo normal o lo que debería hacer alguien que se preocupa por lo que tiene funcionando

Ésto sí que es subjetivo, lo que es normal y lo que no. Cuando uno escribe algo ha de tener claro a quien va dirigido para así poder adecuar el lenguaje correctamente. No sería útil tratar de explicarle a Alonso cual es la trazada correcta, y sí lo sería explicárselo a un chaval que empieza en el mundo del Karting. Si el contenido de la noticia lleva implícito que está dirigida a gente que no es capaz de ver que nosequearchivo.php=? no es nigún archivo, mucho me temo es que inútil tratar de explicarles cómo configurar un servidor a grandes rasgos y dar por hecho que cumplen un plan, que por otra parte es personalizable y no sirve a todos por igual, a la que le falta algo sin el cual es inútil: las rutinas. Ese plan no sirve a todos y por tanto no todo el mundo puede o ha de cumplirlo, habrá quien cumpla un 20% del plan y sea suficiente y habrá para quien ese plan sea un 5% del suyo.

Citar
  pero asi rápido y sin tiempo algo que he dicho en el foro de Linux, trabajar localmente con las aplicaciones y probar y testear hasta que te aburras y luego subirlo,


Eso es un error, pues las posibilidades de que estén configurados de la misma manera los servidores es escasa. Intuyo lo que estás pensando, pero dudo mucho que una persona que sea capaz de configurar de esa manera Apache se nutra de la información que nosotros podemos aportar, pues es necesario unos conocimientos muy altos.

Citar
se puede hacer también mucho a nivel de Apache y además de todo eso expuesto que está muy bien y si no queréis tener problemas con muchas aplicaciones potencialmente peligrosas probar  mod security, http://www.modsecurity.org , un firewall de aplicaciones compatible con vuestro iptables que además de Open Source tiene el reconocimiento de una gran parte de la comunidad de seguridad. Puede que salg aun Bug para vuestro CMS y que sin estar parcheado no llegue  a afectaros, leer los doc y me contáis.

En nuestro caso no tenemos acceso a ese nivel. Tal vez algún día nos hagamos mayores y demos el estirón :haha: :haha: :haha:

Citar
Ya digo, se podría hacer mucho tambien con MySQL, comprobar que tipo de conexiones escucha (locales, remotas), puertos etc etc , afinar el PHP y como he dicho un montón de cosas a nivel de Apache pero vaya, sigo diciendo que para Wordpress tapar eso es un momento, si ellos no quieren pues es cuestion de Wordpress y cada uno que haga lo que estime conveniente, eso si, si el server no tiene configurado el PHP como os comentaba, no parchearlo sería asumir un riesgo de seguridad innecesario aunque  la mayor seguridad es quitar el Cable XD.

Me ha encantado charlar con vosotros bros, dejo este hilo para meterme en otros lios XD, siempre se aprende mucho con tan buenos ponentes :D

Sí, realmente puedes hacer tanto como quieras o estés dispuesto, pero, a no ser que la seguridad sea tu hobby, has de buscar rentabilidad, en este caso no económica, pero sí de tiempo.

Saluetes.
Título: Re: Vulnerabilidad en wordpress 2.0 y 2.01
Publicado por: Dabo en 13 de Marzo de 2006, 07:39:46 pm
Por eso Bro es cuando digo antes;

Resumen rápido;

Había una vulnerabilidad en Wordpress XSS que para mi no lo es tanto al necesitar estar loggeado como admin en vuesto wp. Ese tema se ha corregido.

Luego hay un Bug provocado por la relacion entre 17 archivos que al ser invocados via navegador, fallan y devuelven el "path" o la ruta completa de vuestro wp o resto de webs, esto lo podéis comprobar escribiendo;

www.vuestrodominio/wp-settings.php

Si aparece un mensaje así; (sacado de un site no pequeño precisamente)

Warning: main(ABSPATHwp-includes/wp-db.php): failed to open stream: No such file or directory in /home/XXXXXXXXX/public_html/wp-settings.php on line 73

Fatal error: main(): Failed opening required 'ABSPATHwp-includes/wp-db.php' (include_path='.:/usr/lib/php:/usr/local/lib/php') in /home/XXXXXXXXX/public_html/wp-settings.php on line 73

Donde /home/XXXXXXXXX/public_html/  es el path o la ruta

3 opciones,

1ª, hacéis click en la url que os he puesto y os sale en blanco, vuestro server está bien configurado

2ª, hacéis click y se ve algo como lo que os he puesto, parcheais los 17 archivos o cogéis el que he parcheado yo

3ª, hacéis click, sale lo de arriba (el path) no hacéis nada y el path será visible

Saludos !


Porque me lo paso como dios hablando de estas frikadas con vosotros y creo que se aprende mucho en general pero se nos va o se me va la pinza  :destroyer: y de ahí el resumen, yo mismo lo he releido y me he puesto en el lugar de alguien que tiene poco tiempo y no tiene acceso al server, estarás de acuerdo conmigo en que con lo que he puesto se entera supongo que casi cualquiera (además ojo que yo me lo curré XD y puse el código para que sea más fácil pero es que Antonio de Mangas verdes ya lo ha puesto por carpetas jeje).

La verdad es como he dicho cada uno tiene su manera de trabajar, yo sigo con la mía y digo la que para mi sería la situación ideal que no quiere decir que sea la única o correcta, a mi me queda mucho por aprender, todos los días me voy a la cama con algo nuevo que me ronda la cabeza pero realmente me gusta, ahora tengo en pruebas en local Apache 1,3 , 2.0.54 y 2,2.0 con varias versiones de PHP y MySQL 3,23, otra 4,1 y una versión 5.0.

¿Porque lo hago? porque me gusta, hay gente que con el ordenador hace otras cosas, a mi me gusta lo que hago, así y todo me equivoco como cualquiera pero cierto es que ahora trabajo más a gusto.

Saludos -:) nos leemos !