Strano l’aggiornamento a WordPress 2.1.2…

Oggi apro come solito il pannello di amministrazione del mio Blog, che si vasa su WordPress. E noto, nella parte dedicata agli avvisi degli sviluppatori, un avviso che mi fa rizzare le orecchie.

L’avviso è quello che trovate a questo link: http://wordpress.org/development/2007/03/upgrade-212/.

Ora la prima parte che si legge nel pannello di amministrazione è al quanto sconcertante:

Long story short: If you downloaded WordPress 2.1.1 within the past 3-4 days, your files may include a security exploit that was added by a cracker, and you should upgrade all of your files to 2.1.2 immediately.

Cavolo!!!- Esclamo.

Allora corro subito ad aggiornare, anche perchè mi ricordo benissimo che la versione 2.1.1 io non l’avevo scaricata subito appena uscita ma qualche giorno dopo.

Da quanto si evince dal messaggio un cracker deve essere entrato in uno dei server su cui si appoggia lo staff di WordPress per permettere il download dei file agli utenti. Questo cracker deve quindi aver inserito una parte di codice fatta da lui all’interno del pacchetto wordpress_2.1.1.zip.

Lo staff di Word press non rilascia molti particolari ma si può dedurre che il problema risieda nei file feed.php e theme.php.
Lo si capisce da qui:

If you are a web host or network administrator, block access to “theme.php” and “feed.php”, and any query string with “ix=” or “iz=” in it. If you’re a customer at a web host, you may want to send them a note to let them know about this release and the above information.

Però non è ancora ben chiara la cosa, io intanto aggiorno il tutto alla nuova versione, in cui spero siano state aggiornate le ultime vulnerabilità di XSS CRF e di SQL Injection!!

Ho comunque eseguito un controllo incrociato sui miei due file, che ho detto sopra, e quelli nuovi della versione 2.1.2 ma sono completamente identici.

Se avete poi qualche info in più potete darmela!!

About Mello

Facente funzione di farsi i cazzi suoi!
This entry was posted in Generale. Bookmark the permalink.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *