WordPress 2.1.1 crackeado: actualizad inmediatamente

Autor: Armonth | El sábado 03 de marzo del 2007 @ 03:20.

Mazcue me avisa por jabber de la noticia y pasa el enlace donde Matt informa del suceso, en los últimos tres o cuatro días el paquete para descargar WordPress 2.1.1 ha sido comprometido.

El problema

Long story short: If you downloaded WordPress 2.1.1 within the past 3-4 days, your files may include a security exploit that was added by a cracker, and you should upgrade all of your files to 2.1.2 immediately.

Un cracker ha introducido un fallo fácilmente aprovechable en la descarga original, por ello se recomienda descargar la versión 2.1.2 inmediatamente.

Los que en lugar de actualizar a la 2.1.1 se quedaron en la 2.1 pero corrigiendo el fallo de seguridad que ya comente están a salvo (al menos del código introducido por el cracker).

Siguiendo con la nota, el cracker gano acceso en uno de los servidores de wordpress.org para modificar los ficheros de la descarga. El servidor afectado ha sido dado de baja para hacerle la autopsia forense (}:P) y parece ser que sólo la versión 2.1.1 fue modificada para poder ejecutar código PHP remoto.

Aunque no todas las versiones 2.1.1 han sido comprometidas, el equipo de WordPress ha declarado la versión entera como peligrosa y lanzado la versión 2.1.2 que incluye algunas correcciones menores pero los ficheros verificados.

Las contraseñas de algunos usuarios para SVN y otros servicios han sido reiniciadas y en los foros de WordPress hay que cambiar la contraseña para poder acceder de nuevo.

Por último, si eres administrador bloquea cualquier acceso a los ficheros "theme.php" o "feed.php" que contengan las cadenas "ix=" o "iz=".

Una solución alternativa

Algo que no dice el anuncio oficial es que hay una manera fácil de bloquear los ficheros theme.php y feed.php mediante .htaccess:

<Files theme.php>
order allow,deny   
deny from all
</Files>

<Files feed.php>
order allow,deny
deny from all
</Files>

Anexo

Y añado yo a modo de ruego: incluid el MD5 en el nombre del fichero y en los anuncios oficiales, la mayoría de gente no suelen bajarse el MD5 y hacer la mínima comprobación CRC, pero si se añade en el nombre del fichero y/o en los anuncios oficiales es fácilmente detectable.

A mí nadie me dice que el MD5 que me descargo sea el correcto y no este también crackeado pero si el MD5 que aparece en la web y nombre de fichero no coincide con el que me da md5sum eso ya canta (y si el cracker cambia el MD5 en la web oficial, lo cual es más trabajo para él, y en el fichero canta incluso más).

Comentarios