Via Mangas Verdes, llega un aviso de seguridad sobre Wordpress. Mismo que hace eco en Alt1040 y otros tantos blogs, gracias en parte al poder de difusión de los mismos.
Ahh, pero pequeño detalle, SE REQUIERE ACCESO DE ADMINISTRADOR, ¿Para que necesitaria hacer un XSS, a un sitio si ya soy admin del mismo?.
Analizando un poco mas el reporte de un desconocido Neo Security Team. Leemos: “Impact: XSS, Full Path Disclosure, Directory Listing”, salvo por el XSS, que en realidad no sirve para nada a menos que sea Admin. Se toma en consideracion el supuesto Directory Listing, en otras palabras, mostrar un listado de los archivos en cualquier carpeta. Problema que no depende directamente de Wordpress, si no de la correcta administración de el servidor HTTP en cuestión. La solucion:
< directory /ruta/a/wordpress/ >
Options -Indexes
ErrorDocument 401 “error
ErrorDocument 403 “error
< /directory>
El problema no es de Wordpress, pero la alerta de seguridad la cambiamos mejor a “Alerta de seguridad en todo servidor mal administrado, posible exploit a todo script conocido por el ser humano”, ahora que si tienen miedo, les puedo recomendar el mejor firewall, del mercado. Con cero tolerancia.
Actualización: Repito una vez mas, no hay tal XSS, y el Full Path Disclousure, depende de la configuracion del servidor., deberian ver el capitulo de southpark acerca del secuestro (5ta temporada, si no me falla la memoria)
Actualización: Para dejar de mostrar errores, como el Full Path disclousure (que en si no es dañino, pero permite al atacante conocer mejor el sistema), basta con cambiar en el php.ini:
; Print out errors (as a part of the output). For production web sites,
; you’re strongly encouraged to turn this feature off, and use error logging
; instead (see below). Keeping display_errors enabled on a production web site
; may reveal security information to end users, such as file paths on your Web
; server, your database schema or other information.
display_errors = On
Y cambiarlo por un Off.
8 Comentarios
excelente firewall, lo he probado y funciona XD
Exccelente firewall… ;)
http://www.neosecurityteam.net/foro/
Supongo que intentabas colocar una caja de alert en JS en lugar del nombre…
Lo cual prueba que no funciona…
editaste mi comentario… por eso no se vio el alert :P
reconocelo, te ekivocaste… el bug si existe y es critico ;)
y no edites mi comentario… :P
No estoy editando comentarios, la prueba mas contundente es que probablemente veas tu comentario publicado solo con refrescar la pagina… y veras que esta filtrado.
2 Trackbacks
[...] Actualización (03 mar-10.10 h.): En idealabs aseguran que el riesgo es relativo (inexistente, según afirman), ya que sólo puede ser explotado por un admin. Algo que tampoco nos tranquiliza demasiado. Se lee en 1′17 minutos PDF - Enviar - Imprimir Technorati tags: [...]
[...] Hasta aqui nada excepcional, ya que algún gracioso podÃÂa estar intentando comprobar si he puesto los parches para Wordpres… pues no Y no hace falta, ya que esto solo permite introducir javascript a los admin o editores. Y a los usuarios anonimos los manda a un flitro que trata estas cosas. [...]