Cuatro días después de lanzamiento de la RC1, desde hace unas horas ya está disponible la descarga oficial de WordPress 2.0.2. Las instrucciones para la instalación o actualización son las mismas de siempre. El equipo de desarrolladores ha emitido una nota en la que reiteran que los fallos de seguidad publicados en las últimas semanas no lo son tal:
“Just a quick note: this is different than the snake-oil reports that went out on some security lists a few days ago. There were a couple, but they were either not actual security problems, too small to warrant a release, or just patently false. Remember: just because you read it on a mailing list doesn’t mean that it’s true. We’d be the first people to panic if there was an actual problem”.
Actualización (10 mar-13.32 h): Tras un acalorado rifirrafe con Langer en los comentarios y las aportaciones de Mabel, he decidido no hacer caso a quienes aseguran que los problemas no reconocidos por WordPress no son importantes y proceder a aplicar el parche ofrecido por Daboblog. La diferencia es notable. Si quieres hacer la prueba, intenta a acceder a ‘http://tublogwp/wp-settings.php’ antes de parchear y haz lo mismo después. Antes de hacerlo, verás cómo se pone en evidencia la ruta de tu bitácora en el servidor, y una vez parcheado, aparecerá el siguiente mensaje:
“Disculpa, no estas autorizado a ver esta pagina. Codigo sugerido por www.neosecurityteam.net, impide el listado de directorios en WordPress, saludos, Dabo”.
Así que te recomiendo vivamente el parcheo. Pero, eso sí, fíjate bien en los archivos que debes parchear, y si mañana hay algún cambio no me vengas exigiendo responsabilidades. Ya sabes que estas cosas siempre son responsabilidad del usuario. La misma que yo he asumido al parchear y por la que no voy a ‘colgar’ a nadie.
Langer (si hubieras dado el consejo directamente sin entrar en críticas sin base, nos hubiéramos ahorrado energías) y Mabel, muchas gracias. Y Dabo, claro, también.
15 comentarios
hola, estimado D.Manuel, (…) hace días me volví loco con su información de como había que parchearlo y cometió el error de no aclararlo,no era un tema de la codificación como usted dijó aquí, en los comentarios que hacen ustedes en esa entrada se ve que no sabían aplicar el código, le echaba la culpa a la codificación de wp y no era eso, ustedes pusieron comillas dobles y eran simples, he leido ayer en faq-mac http://www.faq-mac.com/mt/archives/016306.php , se corrige fácil y asi lo he hecho.
hay que informar hasta de lo que no nos gusta,le leemos muchos y se ha equivocado, sin mala intencion pero lo ha hecho y muchos detras de ustd, rectificar es de sabios,saludos
Estimado, D. Langer, no hay mayor desatino que realizar una crítica sobre bases erróneas. Ese tema ya fue detectado y publicado en el post que correspondía (ver última actualización de ayer mismo), con lo cual quien peca de escaso rigor es usted.
Por otro lado, no es cabal hacer público en un comentario los posibles errores de seguridad de un sitio en concreto, como usted ha hecho con el mío (es la parte que ha sido borrada de su comentario).
Así, que si me permite una recomendación, antes de dar lecciones de ética y rigor, aplíquese usted primero la norma.
Por último, no me hago responsable de que la gente se vuelva más o menos loca con lo que escribo en este blog, no tengo vocación de psiquiatra. Lo que anoto en Mangas Verdes son impresiones personales no sujetas a auditoría externa. Aporto la información que me es válida y, si es válida para alguien más, mejor. Pero no soy un periódico ni cobro por lo que hago, por tanto la responsabilidad de seguir o no mis apreciaciones es de cada cual. Sobre todo, en temas tan convulsos como códigos, parches de seguridad y demás, que se modifican, actualizan y desechan cada día. Como hago cuando veo alguna recomendación en algún otro lado: la compruebo, y si no se ajusta a lo que esperaba, sigo buscando hasta encontrar lo que quiero. Pero no voy por ahí llamando la atención a todos aquellos que, con buena voluntad, intentan ayudar, aunque a veces quizás no lo consigan.
Un saludo.
Perdón, no haré lo que ha hecho usted de no informar pero seguro que borrará todo esto, al pinchar en el enlace no se ve nada pero se ve la ruta de donde está alojda la web y datos de la configuración de la ruta del servidor
/xxx/xxxxx/xxxxxxx/
¿no le parece grave?
Perdoneme pero he pasado buenos ratos aquí y considero injusto todo esto
Langer, si no eres un troll no te entiendo. Llegas como anónimo y me acusas de no actualizar una información (que sí está actualizada, aunque tampoco estoy obligado), divulgas en público posibles fallos de seguridad (ahora lo has vuelto a hacer, las ‘xxxx’ son mías), me tachas de casi todo ¿y aún te parece “injusto” que te afee todo eso?
Pues, lo dicho, no te entiendo.
Por cierto, ¿has oído hablar del correo electrónico?
Un saludo.
pero por favor Manuel,no sea tan “cabezón”,esta información la ha puesto usted hace unos días, es la que dice usted que está corregida, ahora entiendo porqué no se dio cuenta en su momento,le pongo la ruta para comprobarlo (que la puso usted hace unos días) me borra luego me llama troll y se pavonea.
Entiendo que usted no sabía lo que era el problema del path entonces no se porque habla de lo que no sabe. No le molestaré más Manuel pero su ignorancia no justifica su intolerancia,usted puso todas las rutas vulnerables hace unos días en la información de como se corregía (que se confundio con las comillas)
Lo lamento,de veras, se que no es mala persona pero entiéndame a mi
Manuel, por dios, borra la cita, porque estás facilitando una información peligrosa para tu blog, aunque ese archivo no lleve a nada, provoca un error que enseña la ruta donde se alojan tus webs en el servidor. Quita ese link y la cita por seguridad tuya. Parchéalo ya que tu mismo pusiste las rutas vulnerables y acláralo ya que si no te aclaras tú y mucha gente te copia, independientemente de que no seas periodista ni nada, tal y como indicas en este hilo, tienes que ser consciente de que muchos seguimos tus pasos.
Un saludo y gracias por la información, pero complétala y parchea. Ya sabes, renovarse o morir. 😉
Mabel
Claro, señalando las fuentes originales, Neo Security Team y Secunia. Y, como yo, media blogosfera. ¿Ya ha dejado su protesta en todos esos sitios?
No lo digo yo, está claramente en el post del que hablamos. No sé quién será más “cabezón”. Pero es más, en el post se va actualizando en cada momento la información, desde quien piensa que no hay problema ninguno a otras posibles soluciones, incluida la que hoy usted nos anuncia a bombo y platillo.
Una vez más, vuélvase a leer el post.
Defíname “intolerancia”.
Sí, están copiadas de Neo Security Team y no se refieren a ningún blog en concreto, sino a los archivos de cualquier instalación en WordPress. Esas rutas no me afectan sólo a mí, sino a cualquiera que tenga instaladada un bitácora con WP, y son ampliamente conocidas, no estoy revelando ningún secreto.
Puede vulnerar tanto mi seguridad como la de cualquier otro blog al que se le aplique y no tenga habilitado el parche. Por eso, cuando usted revela el error concreto en mi bitácora, entiendo que obra de mala fe.
Un saludo.
Mabel, gracias por el consejo, pero te aseguro que sé lo que tengo entre manos. De todas formas te hago caso y borro el pasaje con la ruta sensible. E insisto, la información está actualizada, échale un vistazo al post.
Un saludo.
Actualización: WordPress 2.0.2
Ya esta disponible una actualización de este gestor de contenidos para blogs, es una actualización de seguridad por lo que es recomendable que los que tengais blogs con WordPress 2.0.1 la useis. Eso sÃ, no sin antes hacer backup de todo, todo, por …
No no, si me refiero al blog, que actualices (parchees) el blog. La info ya la he visto 😉 He probado una movida en tu blog y bueno… se hasta donde guardas las llaves de casa 😉
A eso me refería en mi mensaje. Independientemente de que las formas de Langer gusten más o menos tiene más razón que un santo en cuanto a la actual vulnerabilidad y aquí la peña está a la que salta. Ya sabemos todos como va esto. No pongo en duda que no sepas lo que tienes entre manos. Yo acabo de meter el parche en el blog de una amiga y estoy satisfecha con el resultado. A ver si estamos tranquilos los WordPresserianos un tiempo.
Un saludo. Me alegra que borres la cita.
Mabel
Bueno, ya está, lo que sí tengo que agradecerles a los dos es que me hayan ‘obligado’ a parchear.
Un saludo.
Un matiz, yo el parche que he metido no es el oficial sino este:
http://www.daboblog.com/2006/03/08/parche-para-wordpress-20-201-y-202-rc1-full-path-disclosure-los-17-archivos/
De wordpress 2.0.1 a 2.0.2
Ya ha salido la nueva versión 2.0.2 del CMS WordPress y he preparado (prácticamente traducido) una guÃa para actualizar de la versión 2.0.1 a 2.0.2 de este CMS. Los pasos a seguir son muy sencillos:
Borrar el directorio /wp-admin/
Borrar el direct…
[…] Esta actualización corrige algunos problemas menores por lo que se recomienda su instalación inmediata. […]
[…] WordPress 2.0.2, liberado PDF […]