Syslogs

17 Ekimde, Wordpress’in 2.8.5 öncesi tüm sürümlerini etkileyen bir güvenlik zafiyeti bildirildi. Buna göre, wp-trackback.php scriptinde kullanılan mb_convert_encoding fonksiyonuna gönderilen crafted” istekler CPU’yu sömürerek sunucunun kısa sürede yanıt verememesine neden oluyor.

Bir kaç gün önce çıkarılan 2.8.5 (security hardening) sürümü haricindeki tüm wp versiyonları açıktan etkileniyorlar ve bu açığı kullanan bir exploit zafiyeti keşfeden kişinin sitesinde yayınlamakta. Ben, exploit’i kullanarak bir iki test yaptığım -sanal makina üzerinde öntanımlı ayarlarla çalışan- bir apache sunucunun yanıt veremez hale gelmesi yaklaşık 5 dakika sürdü.  Zafiyet, wordpress’in host edildiği sunucudaki diğer siteleri de haliyle down edeceğinden dolayı eski sürüm wordpress kullancılarının sistemlerini upgrade etmelerini tavsiye ederim.

Daha fazla bilgi için bkz:
http://rooibo.wordpress.com/2009/10/17/agujero-de-seguridad-en-wordpress/
http://www.securitytracker.com/alerts/2009/Oct/1023072.html
http://secunia.com/advisories/37088/

Belki şu konular da ilginizi çeker:

• Wordpress – Comment Bug (Awaiting Moderation)
• Websecurify – Web Security Testing Framework
• Önemli Wordpress Güvenlik Zafiyeti
• Nmap ile Conficker Tespiti
• IIS 6.0 WebDav Güvenlik (Remote Auth ByPass) Zafiyeti