Denegación de servicio en WordPress
El domingo publique un post indicando que había una nueva versión de wordpress la 2.8.5 ahora expongo vía “una al día” de Hispasec el por qué:
Se ha confirmado la existencia de una vulnerabilidad en WordPress por la que un atacante remoto podría realizar ataques de denegación de servicio de forma sencilla.
WordPress es un sistema de gestión de blogs, que opera en lenguaje PHP y con soporte de base de datos MySQL, y ofrecido a la comunidad bajo licencia GPL. WordPress es uno de los gestores de blogs más extendido en la blogosfera.
El problema, descubierto por Jose Carlos Norte, reside en que un usuario remoto puede enviar una serie de peticiones especialmente construidas que contengan codificaciones multibyte para provocar que el script “wp-trackbacks.php” consuma grandes recursos de CPU.
Se ha publicado la versión 2.8.5 que corrige este problema, disponible
desde: http://wordpress.org/development/2009/10/wordpress-2-8-5-hardening-release/
Aunque también se recomienda la lectura de la descripción de la vulnerabilidad en:
http://rooibo.wordpress.com/2009/10/17/agujero-de-seguridad-en-wordpress/
Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/4018/comentar
Articulos similares:
- Vulnerabilidad en BIND 9 (Envenenamiento de cache DNS) (27 noviembre 2009)
- WordPress 2.8 (13 junio 2009)
- Fallo de seguridad SSL y TLS (7 noviembre 2009)
- Comparar fichero remoto y local (23 febrero 2009)
- Usar SIEMPRE SSL en la administración de WordPress (31 enero 2010)
Revisado: 27 de octubre de 2009 | etiquetas: Seguridad, WordPress
