MULTIMEDIA, Video digital, Grabación, Diseño gráfico, Diseño web, Programación > Webmasters - Diseño Web - Programación - Diseño gráfico
Vulnerabilidad en wordpress 2.0 y 2.01
ladyblues:
Halo, a mí la movida XSS (a la que te refieres en tu respuesta) no me preocupaba, me preocupada el full path disclosure. En cualquier caso yo he usado el parche de Dabo y me he olvidado de la vulnerabilidad, la cual, parece ser que no desaparece con la nueva versión liberada hoy por wordpress.
En fin, espero que ahora entiendas el por qué de mi interés en parchear mis blogs y los de mis colegas ;-)
Saludos.
Mabel
halo:
--- Cita de: ladyblues en 10 de Marzo de 2006, 07:52:27 pm ---Halo, a mí la movida XSS (a la que te refieres en tu respuesta) no me preocupaba, me preocupada el full path disclosure. En cualquier caso yo he usado el parche de Dabo y me he olvidado de la vulnerabilidad, la cual, parece ser que no desaparece con la nueva versión liberada hoy por wordpress.
En fin, espero que ahora entiendas el por qué de mi interés en parchear mis blogs y los de mis colegas ;-)
Saludos.
Mabel
--- Fin de la cita ---
Hola Mabel
Me refiero a las dos (hablo también del listado de archivos y carpetas). Es que aunque no hubieras parcheado, no te hubiera afectado. Vamos, que no has estado en peligro en ningún momento. De ahí que no entienda porqué le dáis una importancia que realmente no tiene.
Saludos. :-d
ladyblues:
No te debes referir a los dos, ya que el full path disclosure nada tiene que ver con que precises la cuenta de root. A mí no me motiva en absoluto que poniendo una ruta de un archivo salga listado hasta el apuntador, que era lo que estaba pasaqndo y eso es poner un poco más a tiro las cosas. No parchearlo sería toda una dejadez y falta de preocupación por la seguridad y la verdad, me sorprende que haya tanto pasotismo al respecto. La seguridad es lo primero, luego nos quejamos ;-)
Y bueno, me vas a disculpar, puede que para ti no tenga importancia el hecho de que se vean muchos directorios de tu servidor por el morro, pero para mi sí. Supongo que son formas distintas de entender la seguridad.
Saludos :-)
Mabel
halo:
Hola Mabel
Me refiero a las dos, me cito a mí mismo:
--- Citar ---Si se necesita ser administrador para inyectar código y vosotros tenéis configurado el servidor para no mostrar el listado de archivos y carpetas...
--- Fin de la cita ---
Dos soluciones para dos problemas. :-d De todas maneras si en su momento no me explique bien, lo aclaro: me refiero a las dos.
El que se muestre o no el listado tiene que ver con la configuración del servidor, no con WP, de hecho el parche que metéis no impide, evalua y ejecuta, porque tales archivos no muestran ningún contendido por si mismos.
Yo no lo veo pasotismo, es que creo que cada palo ha de aguantar su propia vela y no entiendo porque algo que depende de la configuración del servidor se lo achacáis a WP. Es que un buen código, lo que todos queremos, ha de evitar las redundancias.
No son maneras de ver la seguridad diferentes, sino de establecer competencias. Es diferente.
Saluetes. :-d
ladyblues:
Como decía aquel refrán de un maestro saolín que conocí en Granollers: "Dos no discuten si uno no quiere" ;-) Un saludo y muchas gracias por la charla Halo, ha sido interesante. :-)
Mabel
Navegación
[#] Página Siguiente
[*] Página Anterior
Ir a la versión completa