Neo Security Team publica una alerta de seguridad que afecta a las últimas versiones de WordPress, incluida la 2.0.1. La vulnerabilidad ha sido definida como crítica y su incidencia es múltiple, con dos principales epígrafes: Múltiple XSS en ‘post comment y Full path disclosure & Directory listing (acceso a todo el directorio).
El bug XSS afecta al archivo ‘wp-comments-post.php’, mientras que el otro estyá presente en numerosos archivos de las carpetas ‘wp-admin’ y ‘wp-includes’. A la espera de un patch o una nueva versión que cierre estos agujeros, se nos dan las siguientes soluciones:
- Para el error en XSS:
Sustituir las líneas 21-24 de ‘wp-comments-post.php’ por:
$comment_author = htmlentities(trim($_POST['author']));
$comment_author_email = htmlentities(trim($_POST['email']));
$comment_author_url = htmlentities(trim($_POST['url']));
$comment_content = htmlentities(trim($_POST['comment']));
- Para el Full path disclosure:Añadir al principio de cada archivo afectado la siguiente línea:
if (eregi ('wp-settings.php', $_SERVER['PHP_SELF']))
die ('You are not allowed to see this page directly');
Donde ‘name_of_the_file.php’ es el nombre de cada archivo en cuestión, por ejemplo ‘wp-settings.php’.
En principio, los archivos afectados por el segundo de los bugs son:
/wp-includes/default-filters.php
/wp-includes/template-loader.php
/wp-admin/edit-form-advanced.php
wp-admin/edit-form-comment.php
/wp-includes/rss-functions.php
/wp-admin/admin-functions.php
/wp-admin/edit-link-form.php
/wp-admin/edit-page-form.php
/wp-admin/adm in-footer.php
/wp-admin/menu-header.php
/wp-includ es/locale.php
/wp-admin/edit-form.php
/wp-includes /wp-db.php
/wp-includes/kses.php
/wp-includes/vars .php
/wp-admin/menu.php
/wp-settings.php
Toda la información, en Neo Security Team.
Vía: Menéame
Actualización (02 mar-18.40 h.): The Ghost nos informa en los comentarios de que Secunia se ha hecho eco de los bugs y aclara que afecta a todas las versiones de WordPress, desde la primera 0.x hasta la última 2.x.
Actualización (03 mar-10.10 h.): En idealabs aseguran que el riesgo es relativo (inexistente, según afirman), ya que sólo puede ser explotado por un admin. Algo que tampoco nos tranquiliza demasiado.
Actualización (09 mar-11.02 h): En los comentarios se explica un error de codificación que hay en los códigos que aquí se muestran. Básicamente, las comillas simples iniciales aparecen como de cierre y deben ser de apertura. De todas formas, Daboblog ha construido unos parches que te realizan el proceso de forma automática, aunque no el problema de XSS.
Quizás también te interese:
|
|
|
|
|
{ 10 trackbacks }
{ 35 comentarios }
Una pregunta Manuel, ¿esto afecta a las versiones anteriores también???? O solamente a las versiones 2.x…..
Saludos!!!!
La información no lo deja muy claro, porque habla de “WordPress 2.0.1 & lower ones”, pero no sé si se refiere a la serie 2.x o a las anteriores también.
Un saludo.
Si, justo luego de preguntar fui a la fuente que ponías y vi ese detalle, pero me dejó con las mismas dudas. Voy a ver si encuentro algo más de información. Un abrazo !!!
Bueno, ahora esperamos la 2.0.2 ?? a una semanita de updatear todo a 2.0.1 bueno… mientras sea para mejor y mas seguridad.
Segun un amigo mio, es solo en las 1.5 y 2.x, pero ya, vere si encuentro algo adicional.
Pero con tu dato amigo Malearg, estás metiendo todas las versiones que yo conocía de WordPress, jajajajaja. Un abrazo!!
Disculpa, una duda…
Ahi dice que las lineas 21~24…
Eso es sin importar lo que tengamos, o si es una template diferente a la default?
Gracias
Líneas 21-24 del archivo original. En cualquier caso, no hay pérdida, ya que son líneas muy similares. Las del original son:
Un saludo.
y cerrar los comentarios temporalmente, no solucionaría el primer problema?, digo, mientras esperamos el parche oficial…
grax
es increible terminan de arregar un error y surje otro es una cadena sin fin
Puff, q coñazo. Ya he cambiado todos. Muchas gracias por avisar
He hecho lo del Full path disclosure y me daba error al ver la web, y he vuelto atrás.
Uso la 2.0.1 ¿? alguna idea, Gracias por todo sr. Almeida.
- Jesús, eso no lo tengo claro.
- jesu, ¿las líneas las has añadido después de ‘< ? php’?
Un saludo.
Según Secunia si afecta todas las versiones anteriores a la actual. Osea las 0.x; 1.x; 2.x.
Saludos
The Ghost
Gracias, The Ghost. Actualizado.
Un saludo.
¿Alguién ya ha efectuado las modificaciones?
Me marca un error en el código:
if (eregi(’name_of_the_file.php’, $_SERVER[’PHP_SELF’]))die(’You are not allowed to see this page directly’);
O sea, ¡todos jodidos!
Bueno, crucemos los dedos, voy a hacer todo de una: Actualizo a 2.0.1 y le hago los cambios a los archivos, en un rato les cuento o les lloro…..jajajajaja. Saludos!!!
Respondiendo a Miguel, y antes de terminar los cambios que mencionaba recién, a lo mejor el tema es que no cambiaste en la parte donde dice “name_of_the_file.php” por el nombre de cada archivo. O me estoy equivocando yo y va directamente eso???? Saludos!!!!!
No, Pablo, creo que eso es evidente.
Un saludo.
Okis, Manuel, yo por descartar ese tipo de temas, nunca se sabe. Ahora tengo una pregunta como siempre, en el caso de archivos que son una mezcla de php y html como por ejemplo admin-footer.php, ¿en qué parte se pone el arreglo, antes de qué, o después de qué?. Como ese archivo ya llevo encontrados dos, supongo que hay más. Saludos!!!!!
Yo aún no lo he implementado, pero supono que al principio de los archivos.
Un saludo.
Muchas gracias Manuel, voy a hacer la prueba de ponerlos al principio entonces, pero como en los php normales iba después del
Bueno, por lo visto se cortó mi comentario anterior por una etiqueta que no me di cuenta que no se podía poner. Al final encontré donde va dentro de los archivos el arreglo, en todos, excepto en edit-form.php, que no le encontré la vuelta, pero ya veré cuando no funcione algo de cambiarlo de vuelta. Saludos!!!!!
Pablo: Supongo que era el cache de las páginas, o algo así, ya se solucionó el error. Gracias.
Pues, nop… sigo con errores:
Esto cuando ingreso a la administración de los enlaces… ¿Alguna idea?
Miguel, intenta contactar con Pablo. Él lo ha implementado con éxito (creo). Si no, casi mejor esperar a una actualización oficial.
Un saludo.
Manuel, creo que haré lo último que comentas…
Existe un error en el código, está en las comillas simples, sustituir todas las comillas del tipo ’ por ‘
if (eregi(‘name_of_the_file.php’, $_SERVER['PHP_SELF']))
die(‘You are not allowed to see this page directly’);
—–
$comment_author = htmlentities(trim($_POST['author']));
$comment_author_email = htmlentities(trim($_POST['email']));
$comment_author_url = htmlentities(trim($_POST['url']));
$comment_content = htmlentities(trim($_POST['comment']));
Probablemente sea un problema de codificación de caracteres.
Saludos
Volved a escribir las comillas, creo que es un problema del propio blog, que codifica las comillas mal
Sí, Óscar, típico error de codificación. Muchas gracias. A ver si ahora hay menos problemas.
Un saludo.
hola,acabo de leerlo en meneame,estabais equivocados y me he dado cuenta de porque me fallaba mi parcheo que como aqui en mangas verdes tampoco está cambiado
http://meneame.net/story.php?id=8328
yo siempre leo aqui pero si pones código por favor compruebalo que son solo unas comillas pero que hacen que todo se estropee y si no lo localizais como ayer y estas viendo los problemas se puede llamar a un experto digo yo.Gracias Manuel por brindarnos este espacio y no me tomes a mal,se que eres un tio que se viste por los pies
Tienes toda la razón, Field, pero a veces uno da por hecho que todos andan al tanto de este tipo de errores. Sorry.
Un saludo.
Bien, añado aquí mi comentario inicial, ya que al tener dos ventanas abiertas acabé respondiendo donde no era. Pego el mensaje inicial y si quieres borras el otro
#
Hola, estoy bastante sorprendida con el hecho de que hayas publicado una noticia como esta, con la difusión que ha tenido y que luego la hayas dejado abandonada. No sé si eres consciente de la polémica que se ha montado en torno a esta actualización pero mira, te voy a poner aquí lo que ha sido la solución, de momento y mientras wordpress se rasca el ombligo. Te leo asiduamente y en tu blog obtengo información muy útil, pero vamos, el tirón de orejas te lo llevas en esta ocasión
http://www.daboblog.com/2006/03/08/parche-para-wordpress-20-201-y-202-rc1-full-path-disclosure-los-17-archivos/
Me consta que has recomendado no actualizar, pero quiero que sepas que este código que habéis facilitado entre varios blogs y webs es incorrecto y que al menos debes actualizar la información indicando que las comillas dobles se deben sustituir por comillas simples. Espero que te sea de utilidad esta información adicional.
Gracias y un saludo.
Mabel
Comentario gentileza de Mabel — 9 Marzo 2006 @ 10:37
Tú respuesta:
#
Hola, Mabel. Creo que te has hecho un pequeño lío. El problema de comillas del que me hablas no tiene nada que ver ni con la versión 2.0.2 ni con este post, sino con este otro en el que, además, se señala tal error en los comentarios.
La versión 2.0.2 RC1 es oficial, aunque de pruebas. Ahí es difícil que encuentres ese problema.
Por otro lado, el famoso problema de las comillas es un típico error de ‘copia y pega’ con distinta codificación, que lo que en unos es apóstrofe en otro lado se convierte a comillas dobles y cosas así. Tampoco es problema propiamente dicho del código.
Un saludo.
El problema está en editar el código en editores de texto que hacen lo que quieren. Debimos fijarnos que en el código original había comillas simples. Es una verdadera conejada por parte nuestra.
A mí esto me ha tenido loca, dando vueltas y editando los malditos 17 archivos varias veces hasta que alguien dió con la movida. Me sigo quejando de la dejadez de wordpress.
Lo que más me preocupaba era listar directorios y me parece muy fuerte que teniendo una solución tan sencilla como cambiar un código se empecinen en decir que nos las apañemos con la configuración del servidor. Vaya, a lo grande ande o no ande. Finalmente, toda la movida de XSS se quedó en nada, ya que se necesita cuenta de admin para ello y bueno… si te pillan la cuenta admin lo de XSS pasa a ser meramente anecdótico jeje.
Saludos y disculpa por el lío de hilos. No se puede ser multitarea cuando se ha dormido poco
Mabel
Oño … pos menosmal que te leo … voy a ver si arreglo esto en mi blog…
Gracias y un saludo!
Los comentarios están cerrados.