Apri/Chiudi


Attacco cracker: upgradate a Wordpress 2.1.2!

3 marzo 2007 , di Boliboop

E’ appena stato reso noto che i file della versione 2.1.1 di WordPress sono stati manomessi qualche giorno fa da un cracker. Per cui, chiunque avesse fatto l’upgrade negli ultimi 3-4 giorni deve assolutamente passare alla versione 2.1.2. La manomissione coinvolge due file /include ma è consigliabile, come sempre, sostituire tutti i file, anche quelli nella directory di root e in /admin.

Ovviamente il Team di Word Press sta lavorando affinché queste intrusioni non si verifichino più.

I file erano stati modificati per consentire l’esecuzione codice PHP arbitrario da remoto, azione questa che permette di creare molti problemi ma non mi risulta che consenta al cracker di rubare le password di admin (perché protette dall’algoritmo md5). Per quanto riguarda il database il discorso è diverso: le password potevano essere rubate ma non sarebbe possibile modificare il contenuto del database da remoto. Ovviamente se per scrupolo volete cambiare le vostre password non fate nulla di sbagliato (questo si riferisce anche agli utenti di quei blog che permettono l’inserimento di commenti solo dopo l’iscrizione).

Gli sviluppatori di WordPress consigliano inoltre agli amministratori dei servizi di hosting di bloccare gli accessi ai file “theme.php” e “feed.php” in /include, e anche la possibilità di eseguire qualsiasi query del tipo “ix=” o “iz=”. Il primo consiglio si attua modificando i permessi a questi due file, ma mi chiedo quali parametri siano i migliori. Riguardo il secondo consiglio, non ho la più pallida idea di come faccia. Accetto quindi molto volentieri consigli nei commenti.

Aggiornamento: downloadblog suggerisce l’uso delle seguenti regole da inserire nel file .htaccess per vietare l’accesso ai file incriminati:


<files theme.php>
order allow,deny
deny from all
</files>
<files feed.php>
order allow,deny
deny from all
</files>

Articoli correlati:

  1. Aggiornamento di WordPress
  2. 5 falle zero-day di Office ancora non risolte
  3. Software sul Troise Network

1 Commento a “Attacco cracker: upgradate a Wordpress 2.1.2!”

  1. 1

    Levysoft » Aggiornamento critico a Wordpress 2.1.2

    [...] numerosi security fix. Per cui chi ha installato la 2.1 o la 2.1.1 DEVE passare alla 2.1.2. [thanks Davide per la rapida segnalazione] Share and Enjoy:These icons link to social bookmarking sites where [...]

Lascia un commento



Chiudi
E-mail It