[secondo update] Falso allarme fino ad un certo punto…[/secondo update]
[update] In realtà sembra essere un falso allarme! [/update]
A quante pare sono state scoperte 2 vulnerabilità critiche che affliggono Wordpress 2.5. Una di queste è gravissima in quanto permette a chiunque di accedere direttamente alla nostra base di dati MySql. Per fortuna Daniele ci spiega come patchare il nostro sistema per risolvere tali vulnerabilità .
Dopo un bel backup generale ho installato la patch senza alcun problema.
Ho notato che la seconda vulnerabilità non sembra essere ‘vera’. I due file wp-comments-post sono identici tra le due versioni (quella ‘patchata’ e la 2.5). Siete davvero sicuri sicuri sicuri che il problema descritto come supercritical esista davvero? Qual’è la fonte originaria della 2.5.1? Non è che magari è una trappola?
La seconda, detto sinceramente, mi sembra una vaccata non degna di diffusione (quantomeno a leggere l’inesistente rapporto su securityfocus)
Effettivamente mi sono un po’ fatto prendere dall’isterismo generale senza controllare quali aggiornamenti stavo installando.
Effettivamente sembra essere un falso allarme: http://www.wordpress-it.it/2008/04/16/al-lupo-al-lupetto-al-cucciolo/
Mmm, non è un falso allarme, la vulnerabilità c’è davvero. Anche se per essere effettiva c’è bisogno di una particolare configurazione di MySQL.
http://hublog.hubmed.org/archives/001654.html
Capisco… Comunque non mi sembra un bug che colpirà molti, ma non si sa mai!