Imbarazzante scivolata per il team di Wordpress.org: nell’annuncio per la versione 2.1.2 leggiamo che “se avete scaricato la versione 2.1.1 negli ultimi 3-4 giorni, i tuoi file potrebbero includere un exploit che è stato aggiunto da un cracker, e dovresti aggiornare tutti i tuoi file a 2.1.2 immediatamente“.
A quanto pare, un cracker ha ottenuto accesso ai server che gestiscono la distribuzione dei sorgenti di Wordpress e ha aggiunto del codice altamente sospetto.
Se avete aggiornato WP negli ultimi giorni e siete impossibilitati ad aggiornare il codice immediatamente, dovreste bloccare l’accesso ai file feed.php e theme.php e qualsiasi richiesta che contenga i parametri “ix=” e “iz=”, magari aggiungendo al file .htaccess le regole:
<files theme.php>
order allow,deny
deny from all
</files>
<files feed.php>
order allow,deny
deny from all
</files>
downloadblog è un supplemento alla testata Blogo.it registrata presso il Tribunale di Milano n. 487/06, P. IVA 04699900967. Contatti, chi siamo
© 2004-2011 Blogo.it, alcuni diritti riservati sotto licenza Creative Commons.
Per informazioni pubblicitarie e progetti speciali su Downloadblog.it contattare la concessionaria esclusiva Populis Engage.
fedalmor
03 mar 2007 - 09:13 - #1Ma non staranno esagerando con la rapidità d’uscita delle nuove versioni!? :(
ilMatte81
03 mar 2007 - 09:35 - #2Io l’ho aggiornata anche se non avevo scaricato l’aggiornamento recentemente. Devo dire che ho notato un aumento della velocità nella gestione delle pagine. Bene!
boss_frog
03 mar 2007 - 10:02 - #3“imbarazzante scivolata” ?
…i giornalisti (blogger compresi) non si smentiscono mai.
Scivolare è un’azione involontaria che si produce autonomamente, senza l’intervento di terzi.
qui non c’è nulla di imbarazzante..
WP ha ricevuto un bello sgambetto, altro che scivolone.
Direi piuttosto che è un infame il cracker, poi ci sarebbe da discutere sulle misure di sicurezza adottate dal team che gestisce WP… ma vi ricordate che è una piattaforma non commerciale? vi ricordate quanto sia prezioso WP (e altri) per l’evoluzione del web e la nascita di nuovi contenuti (=cultura) editoriale?
lucaliz
03 mar 2007 - 10:28 - #4@boss_frog: è imbarazzante eccome scoprire di aver distribuito sorgenti modificati da un malintenzionato, soprattutto se si tratta della piattaforma per blogging open source più popolare al mondo. E una scivolata può succedere se qualcuno ti getta una buccia di banana sotto i piedi :-)
boss_frog
03 mar 2007 - 10:53 - #5non so tu, ma io non mi imbarazzo se mi vengono addosso in auto o se mi vengono a rubare in casa
:P
FArn
03 mar 2007 - 11:34 - #6Concordo, non c’è niente di imbarazzante.
Almeno io non avrei niente da rimproverargli, proprio perchè la buccia di banana l’ha gettata qualcun’altro. Provo solo gratitudine per il lavoro che fanno.
PseudoTecnico
03 mar 2007 - 11:57 - #7L’aggiornamento alla 2.1.2 non dipende da quando si è scaricato la 2.1.1: la nuova versione contiene un security bug fix che non è presente nella 2.1.1
In altre parole: aggiornare in ogni caso!
http://markjaquith.wordpress.com/2007/03/03/wordpress-212-is-a-mandatory-upgrade/
Attacco cracker: upgradate a Wordpress 2.1.2! at
03 mar 2007 - 12:16 - #8[…] Aggiornamento: downloadblog suggerisce l’uso delle seguenti regole da inserire nel file .htaccess per vietare l’accesso ai file incriminati: […]
Napolux
03 mar 2007 - 12:18 - #9Il concetto di sicurezza è diventato un po’ approssimativo nel team di WordPress ultimamente…
Release tappabuchi ogni settimana e oggi anche questa…
IMHO dovrebbero darsi una regolata
PseudoTecnico
03 mar 2007 - 12:49 - #10@Napolux: che c’entra la politica del team di sviluppo con la compromissione di un server?
Quando ti ritrovi una gatta del genere da pelare hai ben poco da starci a pensare e pianificare.
Wolly Weblog
03 mar 2007 - 13:49 - #11WP 2.1.2 nuovo aggiornamento OBBLIGATORIO dato che la 2.1.1 è stata dichiarata pericolosaSu wordpress.org spiegano che un cracker è riuscito ad entrare su uno dei server di wp.org e ha modificato alcuni files della 2.1.1 . In teoria solo chi ha scaricato negli ultimi 3 o 4 giorni potrebbe aver scaricato la versione modificata ma wp.org h…
Napolux
03 mar 2007 - 14:03 - #12@Pseudotecnico
In questo caso è il server compromesso. Ok. Ma le uscite della 2.0.6, 0.7 … 0.9, che correggono anche errori “gravi” in un lasso di tempo di 1 settimana o giù di li’ mi fanno pensare che non ci sia questo gran controllo sulla sicurezza di una release prima di darla in pasto agli utenti.
Stessa cosa sto notando per StumbleUpon (estensione per Firefox) che non è ovviamente sviluppata dal team di WP, ma che segue la stessa “politica” ultimamente.
In tre giorni, 3 release: 3, 3.01 e 3.02… Speriamo sto morbo da “release affrettata” non si diffonda troppo
Napolux
03 mar 2007 - 14:10 - #13A proposito è arrivata SU 3.04 in questo istante.
http://www.stumbleupon.com/changelog.php?upgrade=1
SimonE91
03 mar 2007 - 19:27 - #14ho aggiornato il mio blog, mi dide come faccio ad inserire la lingua italiano??
andate nel mio sito e lo vedete che è in inglese!
grazie a tutti….
davide
06 mar 2007 - 12:12 - #15Io per ora ho preferito rimuovere il codice malizioso a mano. Per chi fosse interessato i dettagli li trovate qui: http://www.nothing2hide.net/blog/web/wordpress-211-e-pericoloso/