Andre Beggi ci ha rapidamente preceduto nella segnalazione della soluzione al problema (dorme meno di me 😉 ).
La soluzione è immediatamente applicabile e WPIT l’ha già implementata con successo.
Riporto dal suo blog:
E’ stata rilevata una vulnerabilità in WordPress, il consiglio è di sostituire al più presto il file templates.php
in /wp-admin
. Il problema è descritto qui, e il file con il fix si scarica da qui. E’ sufficiente rinominare il file “vecchioâ€? e uploadare il nuovo. Il file si trova nella directory wp-admin
.
Grazie Andrea!
Aggiornamento del 30/12/2006
Come segnalato nei commenti a questo post questo bug è quasi una … mezza bufala. Perchà© per prima cosa non è applicabile tout court come descritto, infatti una volta applicata la modifica se dal pannello di amministrazione si accede alla Gestione -> File si ottiene un bell’errore, noi non avendolo provato visto che editiamo i file sempre offline li proviamo su una installazione di test e poi li mettiamo online via FTP, manco ci avevamo pensato ad un test.
Seconda cosa per sfruttare questa vulnerabilità occorre essere utenti registrati, e molti blog non permettono la registrazione, oltre ad avere un livello tale che permetta l’accesso a tale funzione, quindi non normali utenti registrati ma solo utenti con alti privilegi. Ora se un utente con altri privilegi fa danni usando questo bug è un kamikaze coltivato in casa, meglio farlo fuori prima no ? 😉
Scusateci per la semibufala 🙂
10 commenti su “Vulnerabilità WP”
enore savoia
28 Dicembre 2006 at 13:35@Stefano ” rinominare il vecchio file ” e uplodare il nuovo , è necessario mantenere il vecchio file o lo si può tranquillamente sovrascrivere ? … colgo l’occasione per farti una domanda inerente alla nuova versione 2.1 in vista di cambiare piattaforma [leggo che la 2.1 necessità di upgrade per i vari plugin] mi chiedevo se anche le localizzazioni dei template subiranno modifiche [compatibilità ] e se nel caso di installazione della versione 2.0.6 il successivo upgrade alla 2.1 rimane indolore e semplice come i precedenti ! cosa mi consigli? buon anno nuovo a te e staff di WP italia
SteveAgl
28 Dicembre 2006 at 14:02La 2.1 richiede ancora parecchio tempo anche se dopo le feste verrà fatto un notevole sforzo per arrivare ad una beta in tempi brevi, i plugin i temi potranno avere problemi ma i tempi fra la beta e ila versione finale permetteranno agli autori di mettervi mano facilmente.
Il passaggio alla 2.1 da qualsiasi versione 2.0.X sarà un normale aggiornamento.
enore savoia
28 Dicembre 2006 at 14:29@Stefano Grazie ..gentilissimo !
Arturo
30 Dicembre 2006 at 13:18ho provato a fare l’aggiornamento, ho rinominato, poi sovrascritto, scaricato il file da piu’ parti ma resta sempre il seguente errore… dove sbaglio?
Fatal error: Call to undefined function: attribute_escape() in /home/chattato/public_html/photoblog/wp-admin/templates.php on line 114
eppure io seguo passo passo… ma resta sempre questo problema… aiutatemiiiiiiiiiiiiiiiii grazie!
Daxeel
30 Dicembre 2006 at 17:36@Arturo
Ho avuto pure io il tuo stesso problema, ho risolto come descritto qui nel mio blog.
Credo che l’aggiornamento faccia riferimento ad una struttura che sarà quella della 2.0.6 e quindi non applicabile alla 2.0.5 .
Saluti
Daxeel
30 Dicembre 2006 at 17:40Non si legge il link nel commento precedente. Era:
http://blog.daxeel.it/archives/2006/12/30/tappata-falla-a-wordpress/
RiSaluti
Arturo
30 Dicembre 2006 at 18:59ho sostituito quello detto da Daxeel nel blog, spero che ora funzioni tutto bene, anche se, sinceramente mi sembra strano che sia quelli di wp-it che wp.org non abbiano notato l’errore, e visto che usiamo tutti lo stesso wp, strano che cosi’ poche persone abbiano notato l’errore…
uhmmm a meno che nessuno sia andato tu File a vedere se funzionava tutto egregiamente, come noi e di conseguenza… non si son accorti dell’errore…
chi puo’, mi chiarisca ulteriormente, intanto Grazie Daxeel! 🙂
SteveAgl
30 Dicembre 2006 at 20:21Su WPIT ma anche su altri miei blog ho applicato la procedura “bovinamente” però effetivamnete non va 🙂 Inoltre la vurnerabilità vale solo se si riesce ad accedere alla gestione file quindi se si è utenti registrati e con determinati privilegi, quindi se uno ha un kamikaze in “casa” rischia se no no. Sto correggendo il post.
camu
30 Dicembre 2006 at 21:18Io non ci avevo fatto caso che la patch era “difettosaâ€? (viva l’upload dei file del tema via FTP). Comunque per stare tranquillo, visto che ho un IP statico, io avevo già messo da un pezzo l’accesso all’admin area solo dal mio IP (viva .htaccess).
enore savoia
1 Gennaio 2007 at 18:52ho provato a fare l’upgrade uplodando il file completo … ed eliminando il vecchio file originale di installazione WP “sovrascrivendolo completamente” infondo il fix riguardava l’istruzione di una sola linea[114 se non ricordo male]… non ho riscontrato nessun problema : come giustamente rende noto Steve .. il bug permette solo a utenti o registrati o facenti parte degli autori … di avere accesso alla sezione superiore “permessi di amministrazione” quindi trovo igienico eliminarli 😀 Saluti