MULTIMEDIA, Video digital, Grabación, Diseño gráfico, Diseño web, Programación > Webmasters - Diseño Web - Programación - Diseño gráfico
Vulnerabilidad en wordpress 2.0 y 2.01
halo:
Hombre, yo esa "vulnerabilidad" no la considero tal desde el momento que es necesario ser administrador. Tampoco digo que siempre que se necesite ser administrador para hacer algo lo exima de ser una vulnerabilidad, pero uno no injecta código malicioso por casualidad. No es un "ay, he pinchado aquí y he jodido la BD", es mucho más complejo.
Con respecto al listado la verdad es que no sé muy bien de qué va el tema, así que no opino.
Filosofías hay muchas, no hay una universal. Tampoco sabes qué filosofía tienen en WP. Es posible que cada uno de los que aportan su grano de arena en ese proyecto tenga la suya propia y personal. Piensa una cosa, si tú mismo reconoces que esa "vulnerabilidad" es sólo aprovechable por el administrador y, al menos según ellos, el tema del listado tiene que ver con la configuración del servidor, ¿realmente crees que están midiendo mal los riesgos? Eso lo dirá el tiempo, y mientras no aparezcan tropecientos WPeses crackeados ellos tendrán razón y habrán sabido medir bien los riesgos. Por supuesto lo contrario te dará a tí la razón, faltaría plus.
Saludos codificaos. :-d
ladyblues:
Pues ya no es cuestión de que aparezcan 200 Wp crackeados, es cuestión de haber parcheado el WP 200 veces que es mucho peor.
Esta movida me ha recordado a los lemmings, todos de cabeza por el barranco y WP pasando de todo. Vamos hombre que se solventaba con un código de nada en 17 archivos. Pues no, venga dadle gas a vuestro server y hagámoslo por la vía difícil. Lo de XSS efectivamente era lo de menos pero parece ser que iban a sacar una versión oficial que solucionaba este problema, supuestamente el martes pasado y aquí estamos esperando. ¿Tú has visto la versión 2.02? porque yo no. A no ser que haya salido hoy mientras escribo esto... pero no, porque acabo de mirar.
A ver si es que están dejando de aportar granitos de arena. Yo lo haría pero no programo nada bien, estaría todo el día metiendo comillas dobles y demás ;-)
Saludos.
Mabel
ladyblues:
Pues señores, aquí está.
Información aquí
ladyblues:
Hola, acabamos de probar el nuevo parche y no sirve de nada para el full path disclosure. De momento me quedo con el anterior parche facilitado por Dabo. Sólo cambia la movida de XSS que sabemos todos que no era ni medio grave. Me preocupa arrastrar esta vulnerabilidad en cada nueva versión. Si se actualiza la versión y nunca cambian (por cabezonería) esa movida ¿qué? dejadez, dejadez y más dejadez con dósis de cabezonería y pasotismo.
En fin, más info en:
http://www.daboblog.com/2006/03/10/wordpress-2-0-2-security-release-version-estable-para-descargar/
halo:
--- Cita de: ladyblues en 10 de Marzo de 2006, 10:14:07 am ---Pues ya no es cuestión de que aparezcan 200 Wp cr..keados, es cuestión de haber parcheado el WP 200 veces que es mucho peor.
Esta movida me ha recordado a los lemmings, todos de cabeza por el barranco y WP pasando de todo. Vamos hombre que se solventaba con un código de nada en 17 archivos. Pues no, venga dadle gas a vuestro server y hagámoslo por la vía difícil. Lo de XSS efectivamente era lo de menos pero parece ser que iban a sacar una versión oficial que solucionaba este problema, supuestamente el martes pasado y aquí estamos esperando. ¿Tú has visto la versión 2.02? porque yo no. A no ser que haya salido hoy mientras escribo esto... pero no, porque acabo de mirar.
A ver si es que están dejando de aportar granitos de arena. Yo lo haría pero no programo nada bien, estaría todo el día metiendo comillas dobles y demás ;-)
Saludos.
Mabel
--- Fin de la cita ---
Te veo algo catastrófica con la comparación de los lemmings esos. :-d
En realidad no has parcheado el WP 200 veces, es que has metido parches que has terminado parcheando, es decir, lo que estás parcheando son los mismos parches. A estas alturas yo me pregunto: ¿para qué? Si se necesita ser administrador para inyectar código y vosotros tenéis configurado el servidor para no mostrar el listado de archivos y carpetas (que también hay que decir que ésto en si mismo no es peligroso), ¿para qué os habéis liado a parchear (excluyo de aquí el parche oficial, me refiero a los otros) si no os hace falta?. Yo lo que veo es que esos parches se han cargado la codificación y no os sirven para nada.
Sobre el retraso, si partimos de la base de que la situación no es grave (para vosotros sí, pero es subjetivo mientras no se pueda cuantificar), ¿qué problema hay? ¿Quieres que saquen un parche el martes y otro hoy? En el CVS puedes ver la cantidad de modificaciones que trae cualquier CMS, ¿hacemos una versión para cada una de ellas? No se puede, habrían días que incluso parchearías 2 ó 3 veces. Ellos gestionan de tal manera que al usuario también le resulte cómodo. Y para el usuario es más cómodo una acumulación de correcciones al mes, que 1 cada dos o tres días.
Saluetes. :-d
Navegación
[#] Página Siguiente
[*] Página Anterior
Ir a la versión completa