Dopo il recente aggiornamento, WordPress ha reso disponibile un importante update di sicurezza che porta la versione attuale del famoso software di blogging alla versione 3.0.4. L’aggiornamento è definito dagli stessi sviluppatori ‘critico’ e quindi è vivamente consigliato a tutti coloro che usano WordPress di aggiornare il più presto possibile. La versione 3.0.4 di WordPress, disponibile da subito attraverso la pagina di aggiornamento nella vostra bacheca o per il download qui, è un aggiornamento molto importante da applicare ai siti più presto possibile, perché risolve un bug di sicurezza di base nella biblioteca HTML di WordPress, chiamata KSES.
KSES è un filtro HTML scritto in PHP che provvede a rimuovere tutti gli elementi HTML indesiderati, ed effettua anche numerosi controlli sui valori degli attributi HTML. La versione 3.0.4 corregge un grave bug sul file KSES che gestisce l’immissione di codice HTML all’interno dei post e dei commenti del blog. KSES può essere utilizzato per evitare attacchi di tipo Cross-Site Scripting (XSS). Se siete un ricercatore di sicurezza, WordPress sarà grata se deste un'occhiata su questo changeset nonché una visione del loro aggiornamento. Per WordPress è importante l'opininone di ciascuno, perchè desidera sentire i pensieri di più utilizzatori possibili.
L'installazione di default di Wordpress 3.0.3 permetteva di inserire commenti come il seguente, al tal fine Mauro Gentile ha pubblicato un link ad altro sito:
Il protocollo di verifica viene effettuato quando il comando href è scritto in minuscolo. Se un utente è malintenzionato dovrebbe inserire l'attributo href con un vettore simile al seguente:
Questo è un sistema cattivo delle librerie HTML di igienizzazione. E 'anche possibile rubare i cookie di un utente collegato in maniera banale:
Si può anche realizzare un attacco più efficace, inserendo una riga di comando simile alla seguente:
Wordpress ha bisogno di un approvazione per ogni commento, ma un amministratore "ingenuo" potrebbe consentire una sorta di commento falso o potrebbe semplicemente cliccare sul link iniettato. Jon Cave ha provato a forzare l'aggiornamento con Exploit Scanner attraverso una nuova serie di hash per WordPress 3.0.4. L'aggiornamento elimina anche la cartella wp-content e sub-directories/files dalla lista dei file di hash file.
Ciò è successo a causa della differenza nei cicli di rilascio di Wordpress e Akismet. In passato le installazioni vulnerabili di WordPress hanno facilitato la diffusione o worm. Matt Mullenweg, promotore e software blogging della fondazione WordPress, scrive sul suo blog che è consapevole del fatto che un aggiornamento durante le vacanze non è proprio piacevole, ma questo vale la pena di effettuarlo. Un ringraziamento và a Mauro Gentile e Jon Cave (duck_) che hanno scoperto e avvisato la Fondazione di questa vulnerabilità XSS.
rolex watches
RispondiEliminalongchamp pliage
versace sunglasses on sale
tory burch outlet online
iphone case
tiffany and co
adidas wings
ferragamo shoes
cheap ray ban sunglasses
jordan pas cher
rolex uk
mulberry uk
michael kors outlet
louis vuitton pas cher
ralph lauren pas cher
michael kors bags
coach handbags
cheap oakley sunglasses
ralph lauren outlet
cheap nfl jerseys
longchamp handbags
nike air force 1
tory burch outlet
prada sunglasses
louis vuitton outlet stores
oakley sunglasses wholesale
true religion jeans
louis vuitton handbags outlet
ray ban sunglasses sale
nike blazer pas cher
tiffany and co
true religion jeans
mlb jerseys
michael kors clearance
omega watches
chanyuan0603
michael kors bags
RispondiEliminaair jordan 13
nike outlet
basketball shoes,basketball sneakers,lebron james shoes,sports shoes,kobe bryant shoes,kobe sneakers,nike basketball shoes,running shoes,mens sport shoes,nike shoes
michael kors clearance
coach handbags outlet
mulberry bags
ugg outlet
vans shoes
michael kors outlet online
uggs on sale
louboutin pas cher
fitflops shoes
babyliss flat iron
cheap jordans
adidas outlet store
tory burch sandals
canada goose outlet
puma shoes
nike free running
true religion jeans outlet
cheap ugg boots
moncler outlet store
nike air max 90
michael kors handbags
celine outlet
cheap oakley sunglasses
ugg boots sale
nike roshe run shoes
ralph lauren uk
ugg boots clearance
canada goose uk
abercrombie and fitch
ugg outlet
cheap ugg boots
nba jerseys
ugg outlet
0808jianxiang