samuelaguilera.com » parches

Vulnerabilidad confirmada en WordPress 2.3.3

Samuel — Sun, 01 Jun 2008 16:33:09 +0000

Sandor Attila Gerendi ha encontrado una vulnerabilidad dentro en WordPress 2.3.3, mediante la cual bajo determinadas circunstancias permite al atacante ejecutar código PHP en la instalación de WordPress 2.3.3 afectada.

Los datos pasados a través del parámetro “cat” a index.php no se sanitizan correctamente por la función “get_category_template()” en wp-includes/theme.php antes de ser usada para incluir archivos en template-loader.php. Esto puede ser aprovechado para incluir archivos PHP arbitrariamente desde recursos locales a través de ataques de directorio transversal.

Según el aviso publicado, un uso satisfactorio de esta vulnerabilidad permite la ejecución arbitraria de código PHP, pero se necesitan privilegios para almacenar archivos PHP en el equipo afectado y que WordPress esté instalado en una plataforma Windows (cosa ya de por si nada recomendable por la cantidad de problemas de compatibilidad que podemos tener, ya que hay que recordar que algunas funciones de WordPress y la mayoría de extensiones, necesitan de Apache/Linux para poder funcionar o hacerlo optimamente).

Esta vulnerabilidad ha sido confirmada en el Trac de WordPress 2.3.3.

Solución:
La mejor es actualizar WordPress a la versión 2.5.1.

Si por el motivo que fuese no quieres actualizar a la 2.5.1, siempre tienes la opción de aplicar el parche para esta vulnerabilidad desde el Trac de WordPress 2.3.3.

Por otro lado, también se han notificado dos posibles vulnerabilidades para WordPress 2.5.1, pero ninguna de ellas ha sido confirmada ni se han dado detalles por el momento que las hagan creíbles.

Visto en: Blogsecurity.net

Parches para WordPress 2.5.1

Samuel — Mon, 28 Apr 2008 12:39:12 +0000

Sí sí… has leído bien el título, apenas han pasado tres días del lanzamiento de WordPress 2.5.1 y ya tenemos los primeros parches para esta nueva versión, y WordPress 2.5.2 ya está en el horno con 93 tickets activos (y 1 ya cerrado y corregido referente a un fallo con el filtro image_send_to_editor, si bien no es de vital importancia puedes descargar el archivo corregido).

La verdad es que para ser sinceros, tenemos que admitir que esto siempre ha pasado y pasa con todo software. Nuevas versiones traen nuevos fallos que corregir. Y sinceramente creo que esta “versionitis” y “parcheitis” que tenemos últimamente se debe a que cada vez se nos hace más normal estar pendientes de cada pequeña novedad del desarrollo de la aplicación, y eso nos hace estar quizás excesivamente alerta…

Dicho esto, si tu blog está actualizado a WordPress 2.5.1 y es susceptible de tener que usar la opción de reiniciar la contraseña (por olvido/pérdida), debes saber que un fallo en esta versión hace que este proceso no funcione correctamente. Sin embargo, Ryan McCue se ha tomado la molestia de comunicar este fallo y ya puedes descargar los archivos afectados corregidos para solucionarlo o mirar los cambios necesarios para corregir el fallo.

Resumiendo… :)

Descargar parche para corregir reinicio de contraseñas

Descargar parche para eliminar llamada duplicada al filtro image_send_to_editor

Visto en: Weblog Tools Collection

Primeros parches para WordPress 2.5

Samuel — Mon, 31 Mar 2008 14:22:41 +0000

Como era de esperar, tras el precipitado lanzamiento de WordPress 2.5 (después de varios retrasos y no querer fijar una fecha final para su lanzamiento), ya se han detectado los primeros fallos y afortunadamente para los valientes que han actualizado nada más salir ya tienen solución.

Si modificas sólo los minutos de la hora de una entrada, no se guarda el cambio. Para solucionar esto puedes descargar el archivo post.php corregido desde el trac de WordPress. También puedes consultar los detalles de la corrección (simplemente un error en un caracter de un argumento de la función).
Si tienes tu WordPress instalado en un subdiretorio del dominio (p. ej. como este blog), los canales de suscripción (feeds) pueden fallar. Para corregir este problema puedes descargar los archivos rewrite.php y version.php corregidos. Y también puedes consultar los detalles de la correción.

Dije en la anterior entrada que aconsejaba esperar una o dos semanas antes de actualizar. Visto lo visto, creo que me pensaré mucho si me espero (para mis blogs y los de mis clientes) a que salga la versión 2.5.1, ya que esta nueva versión (como cualquier otra 2.x) trae demasiados grandes cambios como para actualizar precipitadamente. Y la versión 2.3.3 no tiene grandes problemas que aconsejen una actualización inmediata (al menos hoy por hoy no se le han detectado).

Visto en: Alexseo.com

WordPress 2.2.3, actualización recomendada

Samuel — Sat, 08 Sep 2007 10:37:32 +0000

Anuncian en el blog de desarrollo de WordPress la sorpresiva salida de la versión 2.2.3 de WordPress a menos de un mes de la fecha prevista para la salida de la versión 2.3.

El motivo, de nuevo, importantes vulnerabilidades descubiertas que se corrigen con esta nueva versión de última hora. Y recomiendan actualizar inmediatamente, también están disponibles la lista de fallos corregidos y la lista de archivos cambiados.

Puedes descargar WordPress 2.2.3 de la página oficial, o si lo prefieres, también puedes actualizar desde la versión 2.2.2 a la 2.2.3 descargando desde mi blog un ~~archivo zip sólo con los archivos que han cambiado en WordPress 2.2.3~~ (eliminado por antigüedad).

Parche de seguridad para WordPress 2.2.2

Samuel — Wed, 05 Sep 2007 12:55:13 +0000

A través del blog de g30rg3 me entero de que ha sido detectada y reparada una nueva vulnerabilidad XSS en WordPress que afecta a la versión 2.2.2

Para corregir este fallo basta con subir un par de archivos modificados a la carpeta wp-includes. Archivos que están ya modificados y disponibles para descargar desde el trac de WordPress.

Descargar parche de seguridad para WordPress 2.2.2

WordPress 2.2.2 disponible para descargar

Samuel — Sun, 05 Aug 2007 17:47:39 +0000

Si hace un par de días comentábamos que se habían descubierto nuevos e importantes fallos de seguridad en WordPress.

Hoy nos sorprenden con el lanzamiento de WordPress 2.2.2 (y también 2.0.11) que corrige estos y otros fallos. También puedes ver la lista de archivos cambiados en WordPress 2.2.2

Con esta rapidez ante los fallos de seguridad, da gusto usar WordPress ¿no?.

Descargar sólo los archivos que han cambiado de WordPress 2.2.1 a 2.2.2

Descargar el paquete completo de WordPress 2.2.2

Si ya tienes instalado WordPress 2.2.1, no te compliques, bájate sólo los archivos que han cambiado y sustituye los archivos viejos por los nuevos.

Importantes fallos de seguridad en WordPress 2.2.1

Samuel — Fri, 03 Aug 2007 14:44:21 +0000

Recientemente se han descubierto 7 nuevos fallos de seguridad en WordPress 2.2.1 (aunque también afectan a la rama 2.0.x).

Gracias a g30rg3 (autor del plugin para convertir la base de datos de WordPress a UTF-8 que ya se comentó por aquí) tenemos ya disponibles una serie de parches de seguridad para cubrir estas nuevas vulnerabilidades.

Descargar archivos para corregir 7 fallos de seguridad en WordPress 2.2.1.

Lo único que tenéis que hacer para aplicar los parches es subir a vuestra instalación de WordPress los archivos que encontraréis en la descarga indicada (y aceptar si vuestro cliente de ftp os pregunta si debe sustituir los archivos existentes por estos nuevos).