In questi giorni analizzando le statistiche dei Webmaster Tools di Google ho notato che risultavano numerosi “Errori di Reindirizzamento” come si vede nella figura seguente:
![[WORDPRESS FIX] Redirect Loop e Errori Google Webmaster Tools](http://www.capn3m0.org/wp-content/uploads/2010/01/errore_webmaster_tools1-150x150.png "Errori Google Webmaster Tools")
Testando i link che venivano segnalati in errore, però, mi sono accorto che si dividevano in 3 “sottocategorie”:
- Alcuni venivano correttamente caricati dal Browser;
- Alcuni erano riferimenti al plugin “Global Translator” e, quindi, a file non più in cache o non disponibili in quel momento;
- Altri erano nel formato “url/feed/” e se caricati generavano un errore di “Redirect Loop“.
[...]
Continue reading...
![[EXPLOIT] Wordpress <= 2.8.5 Arbitrary File Upload](http://www.capn3m0.org/wp-content/uploads/2009/11/broken-wordpress-lock-150x150.png "WordPress File Arbitrary Upload")
Ieri avevo dato notizia del rilascio della versione 2.8.6 di WordPress che risolveva due falle di sicurezza.
La notizia non era molto dettagliata poiché la vulnerabilità era stata annunciata molto genericamente come una vulnerabilità che permetteva di “aggirare le limitazioni ai nomi dei file in determinate configurazioni Apache”. Ora che è stata patchata, come spesso accade, iniziano a trovarsi maggiori informazioni e Proof of Concept.
In realtà la vulnerabilità permette di uploadare file bypassando il controllo della tipologia di file e permettendo, quindi, di uploadare script php e similari che possono poi essere richiamati da colui che attacca. Affligge tutte le versioni inferiori alla 2.8.5 (compresa) perciò provvedete quanto prima ad aggiornare il vostro blog.
[...]
Continue reading...
Dopo il tanto parlare degli ultimi giorni circa la possibilità che gli attacchi hacker avvenissero grazie a falle presenti in WordPress 2.8.5, rilasciato neanche un mese fa, è stata appena annunciata la security release 2.8.6 che contiene due importati fix di sicurezza.
La prima è una vulnerabilità del componente “Press This” (Pubblicalo in italiano) scoperta da Benjamin Flesch che permetteva di eseguire XSS (Cross Site Scripting) agli utenti registrati con privilegi di pubblicazione.
La seconda, invece, è stata scoperta da Dawid Golunski e consentiva di aggirare le limitazioni ai nomi dei file in determinate configurazioni Apache.
In attesa della versione WordPress 2.9 consiglio a tutti di provvedere ad aggiornare la propria versione tramite la funzione di “Aggiornamento Automatico” che verrà suggerita non appena entrerete nella vostra Bacheca.
Continue reading...
Ieri è stata rilasciata l’ultima release di WordPress, la 2.7.1.
Chi utilizzava una versione precedente ha avuto la possibilità di effettuare l’aggiornamento automatico senza dover stare a scaricare il pacchetto, unzipparlo, uploadarlo via Ftp etc..
Terminato l’aggiornamento alcuni hanno avuto la triste sorpresa di riscontrare l’errore “500 Internal Server Error” su tutte le pagine del proprio sito. Questa problematica si manifesta negli Hosting (nel mio caso Aruba) dove i permessi di default per avere il corretto funzionamento dei file devono essere impostati a CHMOD 0755 (dovuti all’utilizzo del suExec di Apache) dato che l’aggiornamento automatico comporta il reset dei permessi a CHMOD 0644.
[...]
Continue reading...
![[WORDPRESS FIX] Redirect Loop e Errori Google Webmaster Tools](http://www.capn3m0.org/wp-content/uploads/2010/01/errore_webmaster_tools1.png "Errori Google Webmaster Tools")
Testando i link che venivano segnalati in errore, però, mi sono accorto che si dividevano in 3 “sottocategorie”:![[EXPLOIT] Wordpress <= 2.8.5 Arbitrary File Upload](http://www.capn3m0.org/wp-content/uploads/2009/11/broken-wordpress-lock.png "WordPress File Arbitrary Upload")
20 gennaio 2010
0 Comments