Durante las últimas horas, se ha dado a conocer que los sistemas de
gestión de blogs basados en WordPress son vulnerables ante ciertas
condiciones de contorno no especificadas.
WordPress es un sistema de gestión de blogs, que opera en lenguaje PHP y
con soporte de base de datos MySQL, y ofrecido a la comunidad bajo
licencia GPL. El proyecto, fundado por Matt Mullenweg, nació a raíz de
otro gestor anterior denominado b2/cafelog. Con el permiso de Movable
Type, WordPress es, con toda probabilidad, el gestor de blogs más
extendido en la blogosfera.
Los problemas documentados no han sido clarificados, quizás con la
intención de no servir en bandeja datos a los usuarios maliciosos, para
la explotación de los sitios afectados, que se podrían contar por
millones. La única información que ha trascendido es que son más de 50
los problemas de seguridad corregidos con la nueva versión 2.0.4, y que
son explotables de modo remoto. Lo que confiere, a falta de datos más
claros, un estatus de criticidad moderada a este conjunto de
problemáticas.
La detección de problemas de seguridad en WordPress se ha convertido en
una actividad comunitaria lúdica. A través de los «bug hunts», se insta
a los usuarios a que sometan al gestor a todo tipo de verificaciones,
con la finalidad de identificar problemas, que posteriormente derivarán
en nuevas versiones parcheadas. Los resultados de estos esfuerzos están
enfocados a la obtención de mejores y más seguras versiones, que
posteriormente son reutilizadas por los usuarios.
Las versiones afectadas son, en principio la 2.0.3 y todas las
anteriores. Se insta, por tanto, a que los usuarios de WordPress hagan
uso de la recién liberada versión 2.0.4, para actualizar sus weblogs.
shernando@hispasec.com
Más información:
Aviso original
http://wordpress.org/development/2006/07/wordpress-204/
Descargas de WordPress
http://wordpress.org/download/
Últimas versiones
http://wordpress.org/latest.zip
http://wordpress.org/latest.tar.gz
WordPress Bug Hunts
http://codex.wordpress.org/WordPress_Bug_Hunts
Deja una respuesta