Ma reggel érkezett a hír a különböző internetes biztonsággal foglalkozó oldalakon, hogy rést találtak a WordPress 2.3.1 kódjában, amit a támadó bizonyos karakter készletek használata esetén (big5, gbk) rosszindulatú kódot fecskenedzhet a lekérdezésekbe.
Ez a hiba felhasználható arra, hogy az adatbázis nem nyilvános részeit megtekintse a rosszindulatú látogató, illetve kombinálva az egy hónapja talált cookie authentikációval hibával, akár adminisztrátori jog is szerezhető.
A biztonsági oldalak a hibák közepesen veszélyesnek tartják.
Mennyire is kell félned neked, kedves blog tulajdonos?
Hiba csak azoknál a karakter kiosztásoknál létezik, ahol a backslash karakter egy multibyte karakter definició része lehet (big5, gbk). Amennyiben utf-8, latin-1 vagy latin-2 karakterkiosztást használsz a hiba téged nem érint.
Melyik verziókat érinti a hiba?
A karakter kód változtatásra a WordPress 2.2-es verziójától van lehetőség, így az annál korábbi verziók nem veszélyeztetettek, de az összes további, (beleértve a jelenlegi verziót is) igen.
Mit tudok csinálni akkor ha érint a hiba?
Jelenleg két járható út:
- adatbázis karakter készlet konverzió utf-8-ra
- amíg nem érkezik a hibára javítás a keresési lehetőséget távolítsuk el a témánkból
maradok a jó ‘öreg’ 2.1-nél. van egy mondás, miszerint nem mindig a legfrissebb a legjobb.
Ma kaptam egy levelet, de már valaki felhívta a figyelmem rá:
Kedves x,
a x.hu fórum egyik részében találtam egy komolynak nevezhető hibát. Amin keresztül adminisztrátori jog szerezhető az oldal felett.
Kérem, küldje tovább ezt a levelet, az oldal készítőjének.
Javítás hozzá itt:
http://djz.hu/blog/posts/731
Mi a véleményetek erről a javításról?
Az, hogy nézd meg a következő bejegyzést… 😉