WORDPRESS 2.1.1 PELIGROSO, ACTUALICE
Para hacer la historia corta: Si obtuvo WordPress 2.1.1 en los 3 o 4 días pasados, es posible que sus archivos contengan un exploit añadido por un cracker por lo que debe actualizar a la versión 2.1.2 inmediatamente.
Explicación larga: Esta mañana (2/Marzo/2007) fuimos informados de la existencia de código ajeno y altamente explotable en WordPress. El incidente fue investigado y se concluyó que la versión 2.1.1 disponible para nuestros usuarios había sido modificada. El servidor que alojaba esta copia fue puesto fuera de línea para investigar lo ocurrido.
Se determinó que un cracker obtuvo acceso a nivel de usuario en uno de los servidores que atiende el dominio wordpress.org y empleó dicho acceso para modificar el archivo mencionado. Este servidor ha sido puesto en cuarentena para un análisis forénsico más detallado pero hasta el momento parece ser que el archivo comprimido con la versión 2.1.1 de WordPress fue el único afectado. Dos fueron los archivos incluidos en la versión 2.1.1 que fueron modificados para incluir código que permita la ejecución remota de código PHP.
Este es el tipo de situaciones por las que uno reza para que que no ocurran jamás, pero ahora que ha ocurrido estamos haciendo todo lo que podemos para solucionarlo. Aunque no todas las copias de WordPress 2.1.1 pueden haberse visto afectadas preferimos declarar como peligrosa a todas estas por lo que hacemos disponible una nueva versión 2.1.2 donde además de haberse verificado la totalidad de los archivos se ha añadido actualizaciones menores. Asimismo estamos tomando medidas para asegurar que este incidente no vuelva a repetirse, donde incluiremos la verificación constante y externa del archivo que colocamos a disposición de nuestros usuarios a fin de saber de manera inmediata si ocurre algo extraño con el mismo.
Finalmente, las claves de varios usuarios que ingresan a nuestros sistemas via SVN entre otros han sido cambiados por lo que se requiere que vuelva a generar sus contraseñas en los foros para poder ingresar a los mismos.
¿Qué puede hacer para ayudar?
Si su blog está bajo la versión 2.1.1 por favor actualice de manera inmediate sobreescribiendo sus archivos antiguos, en particular aquellos contenidos en wp-includes. Revise los blogs de sus amigos y si alguno de ellos emplea la versión 2.1.1 informeles de inmediato y si puede ayúdelos con la actualización.
Si Ud. administra servicios de webhosting o es administrador de red bloquee el acceso a "theme.php" y "feed.php" además de cualquier query que incluya las cadenas "ix=" o "iz=". Si Ud. es cliente de algún proveedor de webhosting puede enviarles un mensaje informándoles acerca de la nueva versión disponible así como la información mostrada anteriormente.
Gracias a Ryan,Barry,Donncha,Mark,Michael y Dougal por trabajar toda la noche para identificar y solucionar este problema. Y gracias a Ivan Fratic por notificarnos del mismo
Preguntas y Respuestas
Dado lo inusual de este incidente así y la consiguiente publicación de una nueva versión hemos creado un buzón de correo 21securityfaq@wordpress.org al que pueden enviar sus preguntas. Estaremos actulizando esta sección a lo largo del día.
¿La versión 2.0 ha sido afectada?
Ninguna versión excepto la 2.1.1 fue alterada, por lo que no debería tener problemas con cualquier versión 2.0.x
¿Qué ocurre con quienes actualizan via SVN?
Nada en este repositorio fue afectado, por lo que si actualiza y mantiene su blog via SVN no hay posibilidades de que haya obtenido un archivo corrupto.
No comments:
Post a Comment