Tema: Vulnerabilidad en wordpress 2.0 y 2.01

[halo]

Siento ser "aguafiestas" pero ese blog sigue mezclando codificaciones. 

[ladyblues]

Bien, se han añadido respuestas en el blog de Dabo que creo que son más que interesantes en lo que a este polémico tema respecta.
Muy "JEVI" la movida. Muy JEVI el curro... bueno, en fin, leedlo vosotros mismos!

Pinchad aquí

Mabel

[ladyblues]

Parcheados mis dos blogs. No noto problemas de codificación y ahora no casca nada. Va de narices, la verdad.


Saludos!
Mabel

[halo]

Que no se vean no quiere decir que no estén. En el de Dabo tampoco se ve nada raro.

[Dabo]

Hola bro, el problema o mi problema era salvar lo de las tildes y algo más asi que tengo una mezcla entre la 2.0 , un trunk que liberaron de la pre Release y de la propia release  así que no te fies mucho, ahora bien, me lo estoy pasando de la hostia pero vaya, en cualquier momento me cargo algo XD.

De todos modos con los archivos modificados no hay pegas para el usuario que tenga esos .php sin nada más que lo estandar que suele ser lo común al no ser tampoco del template. Ya lo explico todo en el Daboblog pero vaya, no está de más repetirlo, para explotar la vuln XSS hace falta tener privilegios de Admin  con lo que no es realmente preocupante, lo del listado o ruta de archivos puede afectar más según en que sites. Lo peor es que Wordpress no lo arregla porque no quiere,hace unos días le cerraron un post en el propio foro de Wordpress a uno que decía a ver si lo iban a arreglar, no les cuesta nada y no es la filosofia que se pretende o al menos así lo creo yo. LA versión RC va bien y no he visto problemas, tengo instalados unos cuantos y voy trasteando pero vaya, del mío no os fieis que está muy "tunneado" XD.

Por ejemplo tengo pendiente hacer alguna movida con los ultimos comentarios y cosas así para que no "casque" segun que circunstancias pero voy sin prisa y a mi ritmo.

Un saludo, sobre esto hablaré en el blog y si veo algo interesante lo posteo aquí que no quiero aburrir en los dos lados -:)

[halo]

Hombre, yo esa "vulnerabilidad" no la considero tal desde el momento que es necesario ser administrador. Tampoco digo que siempre que se necesite ser administrador para hacer algo lo exima de ser una vulnerabilidad, pero uno no injecta código malicioso por casualidad. No es un "ay, he pinchado aquí y he jodido la BD", es mucho más complejo.

Con respecto al listado la verdad es que no sé muy bien de qué va el tema, así que no opino.

Filosofías hay muchas, no hay una universal. Tampoco sabes qué filosofía tienen en WP. Es posible que cada uno de los que aportan su grano de arena en ese proyecto tenga la suya propia y personal. Piensa una cosa, si tú mismo reconoces que esa "vulnerabilidad" es sólo aprovechable por el administrador y, al menos según ellos, el tema del listado tiene que ver con la configuración del servidor, ¿realmente crees que están midiendo mal los riesgos? Eso lo dirá el tiempo, y mientras no aparezcan tropecientos WPeses crackeados ellos tendrán razón y habrán sabido medir bien los riesgos. Por supuesto lo contrario te dará a tí la razón, faltaría plus.

Saludos codificaos.

[ladyblues]

Pues ya no es cuestión de que aparezcan 200 Wp crackeados, es cuestión de haber parcheado el WP 200 veces que es mucho peor.
Esta movida me ha recordado a los lemmings, todos de cabeza por el barranco y WP pasando de todo. Vamos hombre que se solventaba con un código de nada en 17 archivos. Pues no, venga dadle gas a vuestro server y hagámoslo por la vía difícil. Lo de XSS efectivamente era lo de menos pero parece ser que iban a sacar una versión oficial que solucionaba este problema, supuestamente el martes pasado y aquí estamos esperando. ¿Tú has visto la versión 2.02? porque yo no. A no ser que haya salido hoy mientras escribo esto... pero no, porque acabo de mirar.

A ver si es que están dejando de aportar granitos de arena. Yo lo haría pero no programo nada bien, estaría todo el día metiendo comillas dobles y demás

Saludos.
Mabel

[ladyblues]

Pues señores, aquí está.

Información aquí

[ladyblues]

Hola, acabamos de probar el nuevo parche y no sirve de nada para el full path disclosure. De momento me quedo con el anterior parche facilitado por Dabo. Sólo cambia la movida de XSS que sabemos todos que no era ni medio grave. Me preocupa arrastrar esta vulnerabilidad en cada nueva versión. Si se actualiza la versión y nunca cambian (por cabezonería) esa movida ¿qué? dejadez, dejadez y más dejadez con dósis de cabezonería y pasotismo.

En fin, más info en:

http://www.daboblog.com/2006/03/10/wordpress-2-0-2-security-release-version-estable-para-descargar/

[halo]

Pues ya no es cuestión de que aparezcan 200 Wp cr..keados, es cuestión de haber parcheado el WP 200 veces que es mucho peor.
Esta movida me ha recordado a los lemmings, todos de cabeza por el barranco y WP pasando de todo. Vamos hombre que se solventaba con un código de nada en 17 archivos. Pues no, venga dadle gas a vuestro server y hagámoslo por la vía difícil. Lo de XSS efectivamente era lo de menos pero parece ser que iban a sacar una versión oficial que solucionaba este problema, supuestamente el martes pasado y aquí estamos esperando. ¿Tú has visto la versión 2.02? porque yo no. A no ser que haya salido hoy mientras escribo esto... pero no, porque acabo de mirar.

A ver si es que están dejando de aportar granitos de arena. Yo lo haría pero no programo nada bien, estaría todo el día metiendo comillas dobles y demás

Saludos.
Mabel

Te veo algo catastrófica con la comparación de los lemmings esos.
En realidad no has parcheado el WP 200 veces, es que has metido parches que has terminado parcheando, es decir, lo que estás parcheando son los mismos parches. A estas alturas yo me pregunto: ¿para qué? Si se necesita ser administrador para inyectar código y vosotros tenéis configurado el servidor para no mostrar el listado de archivos y carpetas (que también hay que decir que ésto en si mismo no es peligroso), ¿para qué os habéis liado a parchear (excluyo de aquí el parche oficial, me refiero a los otros) si no os hace falta?. Yo lo que veo es que esos parches se han cargado la codificación y no os sirven para nada.

Sobre el retraso, si partimos de la base de que la situación no es grave (para vosotros sí, pero es subjetivo mientras no se pueda cuantificar), ¿qué problema hay? ¿Quieres que saquen un parche el martes y otro hoy? En el CVS puedes ver la cantidad de modificaciones que trae cualquier CMS, ¿hacemos una versión para cada una de ellas? No se puede, habrían días que incluso parchearías 2 ó 3 veces. Ellos gestionan de tal manera que al usuario también le resulte cómodo. Y para el usuario es más cómodo una acumulación de correcciones al mes, que 1 cada dos o tres días.

Saluetes.