Un utente ci ha segnalato un, credo, suo articolo dove si parla di exploit di WP 2.5, in sintesi uno permetterebbe la creazione di utenti da parte di utenti che non hanno il permesso per farlo, il secondo una molto più grave possibilità di SQL injection tramite il modulo per i commenti. La prima lettura effettivamente da l’idea di una cosa molto grave, sopratutto la seconda… ma… vediamole singolarmente.
Il primo problema riguarda il fatto che la possibilità di creare un nuovo utente viene verificata controllando se l’utente ha la capacita di “edit_users” invece di quella corretta di “create_users”. Non è un serio problema perchè solo utenti di un certo livello hanno questa capacità, un utente normale ha una sola capacità che è quella di leggere il blog e modificare i propri utenti, gli altri livelli sono solitamente assegnati dall’amministratore il quale dovrebbe autorizzare vari livelli di interazione col proprio blog solo ad utenti minimamente affidabili. Esiste già una patch per la 2.5.1 e l’autore dell’articolo fornisce i file modificati per la 2.5 aggiornarli non fa male ma davvero si corrono rischi minimali. Infatti a differenza di altre volte non abbiamo previsto file di aggiornamento proprio per la bassa rischiosità del tutto, anche se l’autore dell’articolo tiene a sottolineare come a questa cosa sia assegnato il livello critical, cosa normale per la tipologia di problema ma che ripeto richiede ad esempio di dover essere utenti registrati, in blog come il nostro ad esempio il problema non sussiste non avendo la registrazione utenti e per chi avesse invece la registrazione utenti per ad esempio l’invio di newsletter questi utenti spero abbiano il livello minimo (oltre non servirebbe) e quindi non possono sfruttare il problema.
Il discorso SQL injection è diverso, la segnalazione è ridicolmente inutile, non fornisce nessuna informazione, nei giorni scorsi sulle ML tecniche non se ne è avuta notizia mentre l’altro ieri Matt ha commentato la cosa sul suo blog evidenziando appunto la “povertà” della segnalazione e fornisce un esempio di segnalazione ben fatta e utile. Anche una mia richiesta diretta sulle ML di WP ha avuto come risposta che non vi sono evidenze che il codice abbia problemi e non vi sono evidenze di blog che abbiano subito attacchi a causa di questa . La segnalazione su security focus è del 6 aprile in altri casi segnalazioni di problemi seri come quello paventato in questo caso hanno avuto risposte rapidissime, mentre al momento la 2.5.1 non è stata immediatamente rilasciata con la patch al problema (che non esiste, il problema non la patch) come appunto già accaduto con altre versioni.
Nell’articolo che ci è stato segnalato invece si conclude con una bella chiosa nel tipico stile giornalistico catastrofico/accusatorio ipotizzando un complotto con frasi del tipo: “Ovviamente tutto questo pone anche una domanda agli utilizzatori di WordPress 2.5: perchè il team WordPress attende per il rilascio della patch? La mia ipotesi è che non voglia creare allarmismi oppure farsi una brutta “fama”.” mentre la politica degli sviluppatori di WP è sempre stata l’esatto contrario, cioè quello di una rapida risposta a veri e seri problemi di sicurezza. Insomma, un gridare al lupo al lupo quando invece era solo un cucciolotto ed in un caso solo una frasca mossa dal vento. Considerando che letto, l’articolo in questione, ho avuto info sulle ML tecniche nell’arco di due ore e una rapida ricerca mi ha portato al post di Matt oltre al fatto che il report su security focus se analizzato con calma ne evidenziava la povertà mancando un esempio, info dettagliate etc. sarebbe opportuno non gridare subito al lupo al lupo ma prima informarsi un po’ di più e non scrivere scrivere articoli sensazionalistici.
9 commenti su “Al lupo… al lupetto… al cucciolo”
Talksina
16 Aprile 2008 at 10:53per quanto riguarda la sql injection, si tratterà forse della vulnerabilità segnalata su http://www.pensierineccesso.it?
in pratica, per chi non vuol leggere, l’autore dice di aver avuto un intruder che gli ha modificato l’header del tema mettendogli intestazioni pubblicitarie, che però lui(intendo il vero amministratore) non vedeva
SteveAgl
16 Aprile 2008 at 11:08Direi di no, perchè non si riferisce alla 2.5 inoltre non è riuscito a determinare se la vulnerabilità dipendeva da WP o ad altro. Oltre a riferirsi ad un episodio vecchio e con 2.3.3, per la quale comunque non risulta un problema simile, che sarebbe oramai iperevidenziato in migliaia di casi sparsi per il mondo.
Il bug ipotetico della 2.5 al momento non ha alcuna conferma, nessuno ha pubblicato una stringa inseribile nel forme di commento in uno dei vari campi disponibili, che generi il problema, è solo saltato fuori uno che ha gridato al fuoco ma non si vedono ne fiamme ne fumo ne odore di bruciato.
denadai2
16 Aprile 2008 at 15:15mi fa piacere che le segnalazioni nn siano linkate… hai basato il tuo articolo su un’altro senza citare fonti ecc.
Cmq nn credo che la secoda falla sia una cosa da niente. Per la prima falla è pericolosa per vari blogs quindi nn è una cosa da niente.
SteveAgl
16 Aprile 2008 at 15:28A) Relativamente alla mancata citazione si è trattata di un semplice errore, ora corretto, dovuto al fatto che solitamente i link li inserisco a posteriori ed ero convinto di averli messi tutti
B) La seconda falla NON esiste, o almeno ad oggi NON vi sono evidenze di ciò, leggere l’articolo di Matt a riguardo, sulla ML wordpress-hackers a mia domanda diversi contribuenti allo sviluppo di WP anche se non del team principale di sviluppo mi confermano che il codice non ha criticità, in particolare:
http://comox.textdrive.com/pipermail/wp-hackers/2008-April/019557.html
Otto ha contattato direttamente Ryan Boren che gli ha indicato dove i dati vengono filtrati e che a suo parere non esiste alcun problema. Poi se vogliamo dire che c’è perchè su security focus sta scritto che c’è senza alcuna spiegazione o info di spiegazione se non frasette generiche.. facciamolo!
C) IL problema degli user è possibile solo per livelli di utente superiore a quello base, non credo nessuno autorizzi utenti a scrivere sul blog o pubblicare articoli e commenti senza conoscerli e fidarsi ed anche se fosse si tratta di una minoranza di blog infatti il team ha apportato la correzione ma non l’ha ritenuta così critica da richiedere una rapida pubblicazione di una nuova versione.
Poi come ho detto se vogliamo fare dietrologia e cultura del complotto o del sospetto.. si faccia, basta non la si spacci per verità assoluta visto che le evidenze dimostrano il contrario.
denadai2
16 Aprile 2008 at 15:38A) ok
B) L’unica cosa è che mi sembra strano che securityfocus accetti segnalazioni non fondate. Inoltre conoscevo l’autore della segnalazione per aver scoperto altre falle in diversi CMS. Se questa segnalazione è infondata meglio no?
c) io stesso ho diversi utenti a livelli superiori di quelli normali. Per essere più sicuro non voglio falle di sistema. Se esistono i livelli con diversi permessi, questi devono restare tali, secondo il mio parere.
Vabbè dai grazie per i chiarimenti, per chi volesse stare più tranquillo comunque dovrebbe scaricare le fix.
Cia
SteveAgl
16 Aprile 2008 at 15:48B) Certo meglio… segnalazione fasulle su WP e non solo appaiono sia su securityfocus e secunia.. non sarebbe il primo caso. Io ho criticato la corsa all’allarme senza un minimo di verifica, tutto qua.
C) Ovvio che è un baco ma spero che gli utenti che hai autorizzato siano utenti di cui ti fidi… per questo giusto che se sono previsti paletti questi ci siano, ma non si tratta di un baco drammatico.
frasten
16 Aprile 2008 at 17:38Attenzione, una falla c’e’:
http://blogsecurity.net/wordpress/wordpress-25-secret_key-vulnerability/
scoperta ieri.
Si basa sul fatto che di default WordPress 2.5 non fa modificare il file wp-config.php per impostare una secret key, bisogna impostarla a mano.
Ma molti utenti che utilizzano l’installer grafico lasciano il valore di default.
SteveAgl
16 Aprile 2008 at 17:51Questa si… ed è ben documentata. Articolo a riguardo entro stasera.
[…] In realtà sembra essere un falso allarme! […]