Leo en el blog de Fernando Vicente que Queru junto con algunos amigos se ha animado a lanzar el blog Trucolinux.com donde irán publicando trucos…
Gravity Forms Support Engineer since 2014
Leo en el blog de Fernando Vicente que Queru junto con algunos amigos se ha animado a lanzar el blog Trucolinux.com donde irán publicando trucos…
It seems that a Gmail vulnerability (or javascript malicious code at least) has caused the domain tonterias.com to be stolen by someone. Authentic owner of…
A continuación os dejo traducido lo más destacado de la nota oficial del lanzamiento de WordPress 2.5.1:
Ya está disponible la versión 2.5.1 de WordPress. Incluye numerosas correcciones de fallos, mejoras de rendimiento, y una importante corrección de seguridad. Se recomienda a todo el mundo actualizar inmediatamente, particularmente si tu blog tiene el registro abierto. La vulnerabilidad no es pública pero lo será en breve.
Además de la corrección de seguridad, WordPress 2.5.1 contiene muchas correcciones de fallos. Si estás interesado sólo en la corrección de seguridad, puedes descargar estas copias corregidas de wp-includes/pluggable.php, wp-admin/includes/media.php, y wp-admin/media.php. Y sustituir tus copias existentes de estos archivos con estas nuevas copias.
Si descargas la versión 2.5.1, obtendrás cerca de otras 70 correcciones. 2.5.1 se centra en corregir la mayoría de fallos molestos y mejorar el rendimiento. Aquí tenéis algunos puntos destacados:
Después del rumor que conocimos hace unos días de un posible fallo de seguridad, José Carlos Nieto ha reportado un fallo de seguridad que sólo afecta a WordPress 2.5 y sólo en determinadas circunstancias.
Este fallo ha sido anunciado en securityfocus con los detalles suficientes para poder comprobar que la amenaza es real, además de contrastado por Blogsecurity.net.
Básicamente el fallo consiste en que si hacemos una instalación de WordPress 2.5 y dejamos el valor de la clave secreta (variable SECRET_KEY del archivo wp-config.php) con su valor predeterminado o usamos una palabra conocida (cualquiera que se pueda encontrar en un diccionario de cualquier idioma), estaremos dejando una puerta abierta para que un atacante pueda mediante una cookie falsa hacerse con un acceso de administrador de nuestro blog.
Realmente, al menos en mi opinión, lo veo más como un fallo causa del descuido del usuario al instalar que como un fallo de la aplicación. Pero sea imputable al usuario o al diseño de la aplicación, la realidad es que si estás usando un WordPress 2.5, deberías comprobar qué valor tiene la variable SECRET_KEY de tu archivo wp-config.php y en todo caso darle un valor con caracteres aleatorios (por ejemplo generando una cadena de texto de al menos 12 caracteres con cualquier generador de contraseñas).
Según comentan en BlogSecurity.net ayer recibieron un email con el rumor de que se ha encontrado una vulnerabilidad por inyección de SQL en la pantalla…