Commenti a: Al lupo… al lupetto… al cucciolo http://www.wordpress-it.it/2008/04/16/al-lupo-al-lupetto-al-cucciolo/ Il portale dedicato al mondo italiano di WordPress Thu, 09 Feb 2012 10:24:58 +0000 hourly 1 http://wordpress.org/?v= Di: Urgente: per chi usa Wordpress 2.5 -- viklog http://www.wordpress-it.it/2008/04/16/al-lupo-al-lupetto-al-cucciolo/#comment-94639 Urgente: per chi usa Wordpress 2.5 -- viklog Mon, 21 Apr 2008 10:42:34 +0000 http://www.wordpress-it.it/2008/04/16/al-lupo-al-lupetto-al-cucciolo/#comment-94639 [...] In realtà sembra essere un falso allarme! [...] [...] In realtà sembra essere un falso allarme! [...]

]]> Di: SteveAgl http://www.wordpress-it.it/2008/04/16/al-lupo-al-lupetto-al-cucciolo/#comment-93833 SteveAgl Wed, 16 Apr 2008 16:51:41 +0000 http://www.wordpress-it.it/2008/04/16/al-lupo-al-lupetto-al-cucciolo/#comment-93833 Questa si... ed è ben documentata. Articolo a riguardo entro stasera. Questa si… ed è ben documentata. Articolo a riguardo entro stasera.

]]> Di: frasten http://www.wordpress-it.it/2008/04/16/al-lupo-al-lupetto-al-cucciolo/#comment-93831 frasten Wed, 16 Apr 2008 16:38:37 +0000 http://www.wordpress-it.it/2008/04/16/al-lupo-al-lupetto-al-cucciolo/#comment-93831 Attenzione, una falla c'e': http://blogsecurity.net/wordpress/wordpress-25-secret_key-vulnerability/ scoperta ieri. Si basa sul fatto che di default Wordpress 2.5 non fa modificare il file wp-config.php per impostare una secret key, bisogna impostarla a mano. Ma molti utenti che utilizzano l'installer grafico lasciano il valore di default. Attenzione, una falla c’e':
http://blogsecurity.net/wordpress/wordpress-25-secret_key-vulnerability/
scoperta ieri.

Si basa sul fatto che di default WordPress 2.5 non fa modificare il file wp-config.php per impostare una secret key, bisogna impostarla a mano.
Ma molti utenti che utilizzano l’installer grafico lasciano il valore di default.

]]> Di: SteveAgl http://www.wordpress-it.it/2008/04/16/al-lupo-al-lupetto-al-cucciolo/#comment-93818 SteveAgl Wed, 16 Apr 2008 14:48:15 +0000 http://www.wordpress-it.it/2008/04/16/al-lupo-al-lupetto-al-cucciolo/#comment-93818 B) Certo meglio... segnalazione fasulle su WP e non solo appaiono sia su securityfocus e secunia.. non sarebbe il primo caso. Io ho criticato la corsa all'allarme senza un minimo di verifica, tutto qua. C) Ovvio che è un baco ma spero che gli utenti che hai autorizzato siano utenti di cui ti fidi... per questo giusto che se sono previsti paletti questi ci siano, ma non si tratta di un baco drammatico. B) Certo meglio… segnalazione fasulle su WP e non solo appaiono sia su securityfocus e secunia.. non sarebbe il primo caso. Io ho criticato la corsa all’allarme senza un minimo di verifica, tutto qua.

C) Ovvio che è un baco ma spero che gli utenti che hai autorizzato siano utenti di cui ti fidi… per questo giusto che se sono previsti paletti questi ci siano, ma non si tratta di un baco drammatico.

]]> Di: denadai2 http://www.wordpress-it.it/2008/04/16/al-lupo-al-lupetto-al-cucciolo/#comment-93817 denadai2 Wed, 16 Apr 2008 14:38:53 +0000 http://www.wordpress-it.it/2008/04/16/al-lupo-al-lupetto-al-cucciolo/#comment-93817 A) ok B) L'unica cosa è che mi sembra strano che securityfocus accetti segnalazioni non fondate. Inoltre conoscevo l'autore della segnalazione per aver scoperto altre falle in diversi CMS. Se questa segnalazione è infondata meglio no? c) io stesso ho diversi utenti a livelli superiori di quelli normali. Per essere più sicuro non voglio falle di sistema. Se esistono i livelli con diversi permessi, questi devono restare tali, secondo il mio parere. Vabbè dai grazie per i chiarimenti, per chi volesse stare più tranquillo comunque dovrebbe scaricare le fix. Cia A) ok
B) L’unica cosa è che mi sembra strano che securityfocus accetti segnalazioni non fondate. Inoltre conoscevo l’autore della segnalazione per aver scoperto altre falle in diversi CMS. Se questa segnalazione è infondata meglio no?
c) io stesso ho diversi utenti a livelli superiori di quelli normali. Per essere più sicuro non voglio falle di sistema. Se esistono i livelli con diversi permessi, questi devono restare tali, secondo il mio parere.

Vabbè dai grazie per i chiarimenti, per chi volesse stare più tranquillo comunque dovrebbe scaricare le fix.

Cia

]]> Di: SteveAgl http://www.wordpress-it.it/2008/04/16/al-lupo-al-lupetto-al-cucciolo/#comment-93815 SteveAgl Wed, 16 Apr 2008 14:28:31 +0000 http://www.wordpress-it.it/2008/04/16/al-lupo-al-lupetto-al-cucciolo/#comment-93815 A) Relativamente alla mancata citazione si è trattata di un semplice errore, ora corretto, dovuto al fatto che solitamente i link li inserisco a posteriori ed ero convinto di averli messi tutti B) La seconda falla NON esiste, o almeno ad oggi NON vi sono evidenze di ciò, leggere l'articolo di Matt a riguardo, sulla ML wordpress-hackers a mia domanda diversi contribuenti allo sviluppo di WP anche se non del team principale di sviluppo mi confermano che il codice non ha criticità, in particolare: http://comox.textdrive.com/pipermail/wp-hackers/2008-April/019557.html Otto ha contattato direttamente Ryan Boren che gli ha indicato dove i dati vengono filtrati e che a suo parere non esiste alcun problema. Poi se vogliamo dire che c'è perchè su security focus sta scritto che c'è senza alcuna spiegazione o info di spiegazione se non frasette generiche.. facciamolo! C) IL problema degli user è possibile solo per livelli di utente superiore a quello base, non credo nessuno autorizzi utenti a scrivere sul blog o pubblicare articoli e commenti senza conoscerli e fidarsi ed anche se fosse si tratta di una minoranza di blog infatti il team ha apportato la correzione ma non l'ha ritenuta così critica da richiedere una rapida pubblicazione di una nuova versione. Poi come ho detto se vogliamo fare dietrologia e cultura del complotto o del sospetto.. si faccia, basta non la si spacci per verità assoluta visto che le evidenze dimostrano il contrario. A) Relativamente alla mancata citazione si è trattata di un semplice errore, ora corretto, dovuto al fatto che solitamente i link li inserisco a posteriori ed ero convinto di averli messi tutti

B) La seconda falla NON esiste, o almeno ad oggi NON vi sono evidenze di ciò, leggere l’articolo di Matt a riguardo, sulla ML wordpress-hackers a mia domanda diversi contribuenti allo sviluppo di WP anche se non del team principale di sviluppo mi confermano che il codice non ha criticità, in particolare:

http://comox.textdrive.com/pipermail/wp-hackers/2008-April/019557.html

Otto ha contattato direttamente Ryan Boren che gli ha indicato dove i dati vengono filtrati e che a suo parere non esiste alcun problema. Poi se vogliamo dire che c’è perchè su security focus sta scritto che c’è senza alcuna spiegazione o info di spiegazione se non frasette generiche.. facciamolo!

C) IL problema degli user è possibile solo per livelli di utente superiore a quello base, non credo nessuno autorizzi utenti a scrivere sul blog o pubblicare articoli e commenti senza conoscerli e fidarsi ed anche se fosse si tratta di una minoranza di blog infatti il team ha apportato la correzione ma non l’ha ritenuta così critica da richiedere una rapida pubblicazione di una nuova versione.

Poi come ho detto se vogliamo fare dietrologia e cultura del complotto o del sospetto.. si faccia, basta non la si spacci per verità assoluta visto che le evidenze dimostrano il contrario.

]]> Di: denadai2 http://www.wordpress-it.it/2008/04/16/al-lupo-al-lupetto-al-cucciolo/#comment-93812 denadai2 Wed, 16 Apr 2008 14:15:38 +0000 http://www.wordpress-it.it/2008/04/16/al-lupo-al-lupetto-al-cucciolo/#comment-93812 mi fa piacere che le segnalazioni nn siano linkate... hai basato il tuo articolo su un'altro senza citare fonti ecc. Cmq nn credo che la secoda falla sia una cosa da niente. Per la prima falla è pericolosa per vari blogs quindi nn è una cosa da niente. mi fa piacere che le segnalazioni nn siano linkate… hai basato il tuo articolo su un’altro senza citare fonti ecc.

Cmq nn credo che la secoda falla sia una cosa da niente. Per la prima falla è pericolosa per vari blogs quindi nn è una cosa da niente.

]]> Di: SteveAgl http://www.wordpress-it.it/2008/04/16/al-lupo-al-lupetto-al-cucciolo/#comment-93775 SteveAgl Wed, 16 Apr 2008 10:08:15 +0000 http://www.wordpress-it.it/2008/04/16/al-lupo-al-lupetto-al-cucciolo/#comment-93775 Direi di no, perchè non si riferisce alla 2.5 inoltre non è riuscito a determinare se la vulnerabilità dipendeva da WP o ad altro. Oltre a riferirsi ad un episodio vecchio e con 2.3.3, per la quale comunque non risulta un problema simile, che sarebbe oramai iperevidenziato in migliaia di casi sparsi per il mondo. Il bug ipotetico della 2.5 al momento non ha alcuna conferma, nessuno ha pubblicato una stringa inseribile nel forme di commento in uno dei vari campi disponibili, che generi il problema, è solo saltato fuori uno che ha gridato al fuoco ma non si vedono ne fiamme ne fumo ne odore di bruciato. Direi di no, perchè non si riferisce alla 2.5 inoltre non è riuscito a determinare se la vulnerabilità dipendeva da WP o ad altro. Oltre a riferirsi ad un episodio vecchio e con 2.3.3, per la quale comunque non risulta un problema simile, che sarebbe oramai iperevidenziato in migliaia di casi sparsi per il mondo.

Il bug ipotetico della 2.5 al momento non ha alcuna conferma, nessuno ha pubblicato una stringa inseribile nel forme di commento in uno dei vari campi disponibili, che generi il problema, è solo saltato fuori uno che ha gridato al fuoco ma non si vedono ne fiamme ne fumo ne odore di bruciato.

]]> Di: Talksina http://www.wordpress-it.it/2008/04/16/al-lupo-al-lupetto-al-cucciolo/#comment-93773 Talksina Wed, 16 Apr 2008 09:53:42 +0000 http://www.wordpress-it.it/2008/04/16/al-lupo-al-lupetto-al-cucciolo/#comment-93773 per quanto riguarda la sql injection, si tratterà forse della vulnerabilità segnalata su www.pensierineccesso.it? in pratica, per chi non vuol leggere, l'autore dice di aver avuto un intruder che gli ha modificato l'header del tema mettendogli intestazioni pubblicitarie, che però lui(intendo il vero amministratore) non vedeva per quanto riguarda la sql injection, si tratterà forse della vulnerabilità segnalata su http://www.pensierineccesso.it?
in pratica, per chi non vuol leggere, l’autore dice di aver avuto un intruder che gli ha modificato l’header del tema mettendogli intestazioni pubblicitarie, che però lui(intendo il vero amministratore) non vedeva

]]>