Mar 10 2006

WordPress 2.0.2 Security Release, versión estable para descargar

Category: Seguridad Informatica,Software | CMS,Webmasterdabo @ 10:38 am

Hola amigos, ya está disponible para su descarga desde hace 3 horas la versión 2.0.2 de WordPress que corrige entre otros el comentado Bug XSS (que no lo es tanto o de tanta gravedad al necesitar permisos de admin para explotarlo con lo que no se que es peor :D) ,el “full disclosure” (adivinación de la ruta en la cual está instalado WordPress y de paso vuestras otras webs) no lo corrige con lo que os recomiendo parchearlo manualmente.

EL PARCHE ES VALIDO PARA LA VERSION 2.2 – COMPROBADO – mañana os explicaré como arreglar lo del full path disclosure a nivel de server para quien tenga la oportunidad o los recursos para hacerlo
INFORMACIÓN AMPLIADA A LAS 14,50 HORAS;

No está corregido el “full path disclosure” Acabo de instalar una versión nueva aparte y no lo corrige, con lo que al ejecutar el archivo que da el error, en el mensaje del server que reporta el fallo sale la ruta de vuestro Blog o Webs con lo que es necesario parchearlos.

IMPORTANTE, tengo que comprobar si los 17 archivos que yo he puesto en el parche son iguales que los que están en la versión 2.0.2, entiendo que si ya que los archivos parcheados lo están sobre la versión Release Candidate 2.0.2 pero tengo que asegurarme.

¿Mi consejo? Los que estéis con la versión 2.0.1 y los respectivos parches para el XSS y el parche que os he puesto estos días para “full path” , dejarlo como está, hoy por la noche, subiré para descargar, los 17 archivos parcheados para la versión 2.0.2 en el caso de que haya habido algún cambio.

Recursos en Español sobre WordPress, también recordaros que una vez instalada o actualizada la nueva versión, borréis de vuestros directorios /wp-admin los archivos “install.php” y “upgrade.php”.

Amplio con esta información dadas las preguntas que me llegan al mail, para saber si vuestra ruta del WordPress o de las otras páginas alojadas en vuestro server es visible, podéis probar por ejemplo con uno de los 17 archivos sensibles a ello y que habría que parchear según mi opinión.

http://www.vuestraurl.com/wp-admin/admin-footer.php

Saludos -:)

.:: Inicio en DaboBlog::.

Con Creative Commons, difunde la noticia citando la fuente de origen

7 Responses to “WordPress 2.0.2 Security Release, versión estable para descargar”

  1. meneame.net says:

    WordPress 2.0.2 Security Release, ya disponible…

    WordPress acaba de publicar para su descarga la versión 2.0.2 (2.0.2 Security Release) que corrige entre otros la vulnerabilidad XSS tan comentada además de otros Bugs de la aplicación en general y de seguridad en particular….

  2. Liamngls says:

    Hay que dejar de usar CMS’s que hacen el mal … xD

  3. ladyblues says:

    Jejeje.

    El mal lo estamos haciendo entre todos, en estos momentos la web de wordpress no responde, ¿Un DoS de desesperación?

  4. dabo says:

    Pues yo lo veo bien -:)

    Para saber si vuestro wordpress es sensible a la adivinación del path, poner esto, por ejemplo uno de los 17 archivos sensibles a ello

    -http://www.vuestraurl.com/wp-admin/adm in-footer.php-

    Saludos -:)

  5. Liamngls says:

    No solo WordPress … Joomla también hace el mal …. esto son cosas del mísmisimo diablo xD

  6. ladyblues says:

    Joomla más que nadie. Es un gestor de contenidos muy maligno, yo acabé casi de los nervios. Estoy encantada con wordpress, pero cuando hay que dar tirón de orejas se da y punto, qué diablos, también me lo doy a mí cuando me acuerdo ;-)

    Mi elección personal, aún no teniendo problemas con mi server en lo que al full path disclosure se refiere: Upgrade a la 2.02 y meter el parche de Dabo. Mano de santo. Me preocupa el tema de cara a una futura versión…¿tendremos que estar siempre actualizando estos 17 archivos? ¿A qué huelen las nubes? en fins, to be continued.

    Saludos.
    Mabel

  7. dabo says:

    Ya os explicaré con más calma luego como se quita este riesgo a nivel de php y servidor, el problema está en que la gente con hostings compartidos tendrán que seguir haciéndolo manualmente.

    El parche que yo puse salió de la Release Candidate y los archivos son iguales a la 2.0.2, hablando de estos 17 vaya

    Saludos -:)