Autor Tema: Vulnerabilidad en wordpress 2.0 y 2.01  (Leído 14300 veces)

ladyblues

  • Visitante
Re: Vulnerabilidad en wordpress 2.0 y 2.01
« Respuesta #20 en: 10 de Marzo de 2006, 07:52:27 pm »
Halo, a mí la movida XSS (a la que te refieres en tu respuesta) no me preocupaba, me preocupada el full path disclosure. En cualquier caso yo he usado el parche de Dabo y me he olvidado de la vulnerabilidad, la cual, parece ser que no desaparece con la nueva versión liberada hoy por wordpress.

En fin, espero que ahora entiendas el por qué de mi interés en parchear mis blogs y los de mis colegas ;-)

Saludos.
Mabel

Desconectado halo

  • Pro Member
  • ****
  • Mensajes: 541
Re: Vulnerabilidad en wordpress 2.0 y 2.01
« Respuesta #21 en: 10 de Marzo de 2006, 08:32:29 pm »
Halo, a mí la movida XSS (a la que te refieres en tu respuesta) no me preocupaba, me preocupada el full path disclosure. En cualquier caso yo he usado el parche de Dabo y me he olvidado de la vulnerabilidad, la cual, parece ser que no desaparece con la nueva versión liberada hoy por wordpress.

En fin, espero que ahora entiendas el por qué de mi interés en parchear mis blogs y los de mis colegas ;-)

Saludos.
Mabel

Hola Mabel

Me refiero a las dos (hablo también del listado de archivos y carpetas). Es que aunque no hubieras parcheado, no te hubiera afectado. Vamos, que no has estado en peligro en ningún momento. De ahí que no entienda porqué le dáis una importancia que realmente no tiene.

Saludos. :-d
Condemnation , Tried , Here on the stand , With the book in my hand , And truth on my side
Accusations , Lies , Hand me my sentence , I'll show no repentance , I'll suffer with pride If for honesty , You want apologies , I don't sympathize...

ladyblues

  • Visitante
Re: Vulnerabilidad en wordpress 2.0 y 2.01
« Respuesta #22 en: 10 de Marzo de 2006, 08:36:42 pm »
No te debes referir a los dos, ya que el full path disclosure nada tiene que ver con que precises la cuenta de root. A mí no me motiva en absoluto que poniendo una ruta de un archivo salga listado hasta el apuntador, que era lo que estaba pasaqndo y eso es poner un poco más a tiro las cosas. No parchearlo sería toda una dejadez y falta de preocupación por la seguridad y la verdad, me sorprende que haya tanto pasotismo al respecto. La seguridad es lo primero, luego nos quejamos ;-)

Y bueno, me vas a disculpar, puede que para ti no tenga importancia el hecho de que se vean muchos directorios de tu servidor por el morro, pero para mi sí. Supongo que son formas distintas de entender la seguridad.

Saludos :-)

Mabel

Desconectado halo

  • Pro Member
  • ****
  • Mensajes: 541
Re: Vulnerabilidad en wordpress 2.0 y 2.01
« Respuesta #23 en: 10 de Marzo de 2006, 08:57:29 pm »
Hola Mabel

Me refiero a las dos, me cito a mí mismo:

Citar
Si se necesita ser administrador para inyectar código y vosotros tenéis configurado el servidor para no mostrar el listado de archivos y carpetas...

Dos soluciones para dos problemas. :-d De todas maneras si en su momento no me explique bien, lo aclaro: me refiero a las dos.

El que se muestre o no el listado tiene que ver con la configuración del servidor, no con WP, de hecho el parche que metéis no impide, evalua y ejecuta, porque tales archivos no muestran ningún contendido por si mismos.

Yo no lo veo pasotismo, es que creo que cada palo ha de aguantar su propia vela y no entiendo porque algo que depende de la configuración del servidor se lo achacáis a WP. Es que un buen código, lo que todos queremos, ha de evitar las redundancias.

No son maneras de ver la seguridad diferentes, sino de establecer competencias. Es diferente.

Saluetes. :-d
Condemnation , Tried , Here on the stand , With the book in my hand , And truth on my side
Accusations , Lies , Hand me my sentence , I'll show no repentance , I'll suffer with pride If for honesty , You want apologies , I don't sympathize...

ladyblues

  • Visitante
Re: Vulnerabilidad en wordpress 2.0 y 2.01
« Respuesta #24 en: 11 de Marzo de 2006, 12:05:55 am »
Como decía aquel refrán de un maestro saolín que conocí en Granollers: "Dos no discuten si uno no quiere" ;-) Un saludo y muchas gracias por la charla Halo, ha sido interesante. :-)

Mabel

Desconectado halo

  • Pro Member
  • ****
  • Mensajes: 541
Re: Vulnerabilidad en wordpress 2.0 y 2.01
« Respuesta #25 en: 11 de Marzo de 2006, 07:25:05 am »
Hay muchas clases de discusiones, ésta ha sido interesante y con un tono cordial entre dos compañeros foriles, no creo que el maestro ese estuviera pensando en este tipo de discusiones cuando dijo lo que dijo y cuando lo dijo.

Es, o hubiera sido, interesante seguir y sacar una conclusión, más que nada porque esa información no es privada, es pública, y hay gente afectada por esas "vulnerabilidades", pero también las hay que no saben qué están haciendo cuando parchean o si realmente es necesario.

En cualquier caso, ha sido un placer. :-d

Un saluete, Mabel. ;-)
Condemnation , Tried , Here on the stand , With the book in my hand , And truth on my side
Accusations , Lies , Hand me my sentence , I'll show no repentance , I'll suffer with pride If for honesty , You want apologies , I don't sympathize...

Desconectado Liamngls

  • Administrator
  • ******
  • Mensajes: 15650
    • Manuales-e
Re: Vulnerabilidad en wordpress 2.0 y 2.01
« Respuesta #26 en: 11 de Marzo de 2006, 07:59:09 am »
Entonces hemos quedado en que cualquier vulnerabilidad por leve que sea debe ser parcheada a la mayor brevedad porque lo que hoy es una inocente tontería mañana puede ser un agujero de seguridad importante ¿ no ?

Desconectado halo

  • Pro Member
  • ****
  • Mensajes: 541
Re: Vulnerabilidad en wordpress 2.0 y 2.01
« Respuesta #27 en: 11 de Marzo de 2006, 08:27:29 am »
Entonces hemos quedado en que cualquier vulnerabilidad por leve que sea debe ser parcheada a la mayor brevedad porque lo que hoy es una inocente tontería mañana puede ser un agujero de seguridad importante ¿ no ?

Hola Liamngls :)

No es exactamente como lo planteas, pues tal y como lo planteas lo mejor sería no usar ningún tipo de CMS. Se trata de llevar el mantenimiento de una web gestionada a través de un CMS.

Éste que planteo sería un plan ->

Mantenimiento correctivo:

  • Aplicación de parches oficiales.
  • Solución a problemas creados por modificaciones personales.

Mantenimiento preventivo sistemático:

  • Copia de seguridad BBDD.
  • Copia seguridad archivos.
  • Purgas.

Mantenimiento preventivo predictivo:

  • Revisión permisos a archivos con contenido privado.
  • Revisión codificación.
  • Revisión de las partes de la web.
  • Revisión logs.
  • Revisión anomalías visuales.

Mantenimiento modificativo:

  • Aplicación medidas extraordinarias a través de mods "oficiosos".
  • Aplicación mejoras personales.
  • Aplicación de medidas paliativas ante errores críticos de seguridad sin solución oficial.

Teniendo en cuenta esas claves (que pueden ser más o menos, seguro que se me olvida más de una interesante) han de crearse las rutinas.

Las "vulnerabilidades" encontradas, una vez evaluadas, forman parte del mantenimiento correctivo para todos aquellos que tienen correctamente configurado el servidor. Para los que no lo tienen entraría a formar parte del modificativo, el correctivo le corresponde a la configuración del servidor.

Edito: he hecho una modificación en los preventivos. Creo que así está mejor y no afecta a la conclusión final. Aunque la aplicación de este plan a la web no implica, según casos, la parada de la web creo que ahora está mejor clasificado.

Saluetes. :-d
Condemnation , Tried , Here on the stand , With the book in my hand , And truth on my side
Accusations , Lies , Hand me my sentence , I'll show no repentance , I'll suffer with pride If for honesty , You want apologies , I don't sympathize...

Desconectado Dabo

  • Administrator
  • *
  • Mensajes: 15203
    • http://www.daboblog.com
Re: Vulnerabilidad en wordpress 2.0 y 2.01
« Respuesta #28 en: 11 de Marzo de 2006, 03:13:38 pm »
muy bueno Halo, estoy de acuerdo con todos en general,todos decis cosas muy lógicas, voy a comentaros algo que todavía no he puesto en el Daboblog y que me queda pendiente, la configuración del php en un sistema en producción , debe tener la variable en el php.ini "display_errors" a Off, de este modo, es imposible que se vea el path cuando falle el php.

Partiendo de esa base, cuando Wordpress dice "es un problema de configuración del servidor, no nuestro", llevan su parte de razón. Donde tengo sentimientos encontrados es con una cosa, es una línea de código que no afecta para nada a la aplicación y es facilisimo, hay gente que no tiene acceso a ese tipo de configuraciones, un hosting compartido, el tipico en el que están alojadas 200 o 500 webs, ahí no hay nada que hacer por parte del usuario, o parcheas o nada.

Además se puede tener el que muestre errores en "off" y por detrás que esté corriendo un log en el que el administrador pueda ver que falla. Hay gente a la que le gusta tenerlo en "on" por no tirar de un log y porque sabes al momento que falla pero como digo, cuando el sistema está a punto, no tiene lógica tenerlo activado.

El problema es que ver el path en si no es un problema, hay cosas más graves pero cuando ciertos ataques o exploits van como más directos cuando sabes la ruta pues no se, son 2 líneas de código, lo hacen bien, el software es bueno y mucha gente lo usamos pero la crítica y la autocrítica creo que siempre es buena -:)
Hacking, computing, are in my blood, are a part of me, a part of my life...Debian GNU/Linux rules.

Twitter; @daboblog --> http://twitter.com/daboblog

www.daboblog.com | www.debianhackers.net | www.caborian.com | www.apachectl.com | www.hackeando.com | www.davidhernandez.es

Desconectado Paulet

  • Pro Member
  • ****
  • Mensajes: 850
  • fentlinux.com
    • fentlinux.com Portal Linux actualidad y documentación
Re: Vulnerabilidad en wordpress 2.0 y 2.01
« Respuesta #29 en: 13 de Marzo de 2006, 03:47:22 pm »
buenas

interesante hilo, con visiones diferentes, pero denoto sobre el tema demasiado alarmismo, hasta la fecha no correspondido con la realidad, cojonuda tu exposición halo, y excelente tu plan, habrá que tomar nota

salu2
La mejor actualidad y documentación sobre gnu/linux: fentlinux.com

Igualtat per a viure, diversitat per a conviure

 

Aviso Legal | Política de Privacidad | Política de Cookies

el contenido de la web se rige bajo licencia
Creative Commons License