giovedì 30 dicembre 2010

WordPress si aggiorna alla versione 3.0.4 e risolve grave falla XSS


Dopo il recente aggiornamento, WordPress ha reso disponibile un importante update di sicurezza che porta la versione attuale del famoso software di blogging alla versione 3.0.4. L’aggiornamento è definito dagli stessi sviluppatori ‘critico’ e quindi è vivamente consigliato a tutti coloro che usano WordPress di aggiornare il più presto possibile. La versione 3.0.4 di WordPress, disponibile da subito attraverso la pagina di aggiornamento nella vostra bacheca o per il download qui, è un aggiornamento molto importante da applicare ai siti più presto possibile, perché risolve un bug di sicurezza di base nella biblioteca HTML di WordPress, chiamata KSES. 

KSES è un filtro HTML scritto in PHP che provvede a rimuovere tutti gli elementi HTML indesiderati, ed effettua anche numerosi controlli sui valori degli attributi HTML. La versione 3.0.4 corregge un grave bug sul file KSES che gestisce l’immissione di codice HTML all’interno dei post e dei commenti del blog. KSES può essere utilizzato per evitare attacchi di tipo Cross-Site Scripting (XSS). Se siete un ricercatore di sicurezza, WordPress sarà grata se deste un'occhiata su questo changeset nonché una visione del loro aggiornamento. Per WordPress è importante l'opininone di ciascuno, perchè desidera sentire i pensieri di più utilizzatori possibili.


L'installazione di default di Wordpress 3.0.3 permetteva di inserire commenti come il seguente, al tal fine Mauro Gentile ha pubblicato un link ad altro sito:


Il protocollo di verifica viene effettuato quando il comando href è scritto in minuscolo. Se un utente è malintenzionato dovrebbe inserire l'attributo href con un vettore simile al seguente:


Questo è un sistema cattivo delle librerie HTML di igienizzazione. E 'anche possibile rubare i cookie di un utente collegato in maniera banale:


Si può anche realizzare un attacco più efficace, inserendo una riga di comando simile alla seguente:


Wordpress ha bisogno di un approvazione per ogni commento, ma un amministratore "ingenuo" potrebbe consentire una sorta di commento falso o potrebbe semplicemente cliccare sul link iniettato. Jon Cave ha provato a forzare l'aggiornamento con Exploit Scanner attraverso una nuova serie di hash per WordPress 3.0.4. L'aggiornamento elimina anche la cartella wp-content e sub-directories/files dalla lista dei file di hash file. 

Ciò è successo a causa della differenza nei cicli di rilascio di Wordpress e Akismet. In passato le installazioni vulnerabili di WordPress hanno facilitato la diffusione o worm. Matt Mullenweg, promotore e software blogging della fondazione WordPress, scrive sul suo blog che è consapevole del fatto che un aggiornamento durante le vacanze non è proprio piacevole, ma questo vale la pena di effettuarlo. Un ringraziamento và a Mauro Gentile e Jon Cave (duck_) che hanno scoperto e avvisato la Fondazione di questa vulnerabilità XSS.

2 commenti: