Los desarrolladores de WordPress anuncian que el próximo martes será lanzada una versión de urgencia (2.0.2) para corregir un error de seguridad y algunos otros errores no relacionados con la vulnerabilidad del sistema. Sorprendentemente, el bug que se va a corregir no es el que ha sido ampliamente difundido dentro y fuera de la blogosfera, sino otro del cual no se ofrecen detalles. Al parecer, y según un comentario incluido en la alerta de seguridad de Neo Security Team, los responsables de WP no consideran que el bug de Full Path Disclosure sea responsabilidad del CMS (ver también idealabs)…

“As this bug it isn’t patched yet, I tryed to know why and I found something like this in their forum (I don’t know if the person that posted this was the admin but it gives the explanation): (Something like the following, it’s not textual). `… these bugs are caused by badly configured .ini file, it’s not a bug generated by the script so it cannot be accepted as a bug of WordPress…’. This is not an acceptable answer, if you think it is, a bug caused because of register_globals is Off it’s .ini fault and not the script, they have to be kidding, if they want to make good software, they have to make as far as the language can, to prevent all bugs”.

… aunque particularmente entiendo que si hay algún agujero que pueda ser subsanado, debe serlo sin entrar a ver de quién puede ser la responsabilidad.

Los desarrolladores advierten de que, aunque el lanzamiento está previsto para el martes, puede demorarse un poco, pero no demasiado. Mientras tanto, aquellos que prefieran no esperar, pueden descargarse la nueva versión de los archivos afectados desde la página del SVN. En esta otra página de Trac puedes echarle un vistazo a los errores que serán subsanados en esta nueva versión, si bien ahí tampoco veo el “importante agujero de seguridad” que será subsanado, salvo que se refieran al RSS feeds broken in 2.01.

Share