WordPress wp-trackback.php DoS Zafiyeti
 |
17 Ekimde, WordPress’in 2.8.5 öncesi tüm sürümlerini etkileyen bir güvenlik zafiyeti bildirildi. Buna göre, wp-trackback.php scriptinde kullanılan mb_convert_encoding fonksiyonuna gönderilen crafted” istekler CPU’yu sömürerek sunucunun kısa sürede yanıt verememesine neden oluyor. |
Bir kaç gün önce çıkarılan 2.8.5 (security hardening) sürümü haricindeki tüm wp versiyonları açıktan etkileniyorlar ve bu açığı kullanan bir exploit zafiyeti keşfeden kişinin sitesinde yayınlamakta. Ben, exploit’i kullanarak bir iki test yaptığım -sanal makina üzerinde öntanımlı ayarlarla çalışan- bir apache sunucunun yanıt veremez hale gelmesi yaklaşık 5 dakika sürdü. Zafiyet, wordpress’in host edildiği sunucudaki diğer siteleri de haliyle down edeceğinden dolayı eski sürüm wordpress kullancılarının sistemlerini upgrade etmelerini tavsiye ederim.
Daha fazla bilgi için bkz:
http://rooibo.wordpress.com/2009/10/17/agujero-de-seguridad-en-wordpress/
http://www.securitytracker.com/alerts/2009/Oct/1023072.html
http://secunia.com/advisories/37088/
Önemli WordPress Güvenlik Zafiyeti
| Bir kaç saat önce, wordpress.org forumlarına WP tabanlı bir çok site ve blogun hack edildiğine dair iletiler gönderilmeye başlandı. Henüz WordPress tarafından resmi bir duyuru yapılmamamış olmasına rağmen, anlaşılan o ki ortalıkta bir exploit dolaşıyor. Siz de bir wordpress kullanıcısı iseniz, bu konuya azami dikkat etmeniz gerekmekte. Zira, hack edilen sistemlere kod enjeksiyonu yapıldığı da rapor edilmekte. | |
Eğer, wordpress’in eski bir sürümünü kullanıyorsanız sisteminizi bir an önce Worpress 2.8.4 sürümüne upgrade etmeniz tavsiye ediliyor.
Zafiyet ile ilgili detaylar şu şekilde:
WordPress – Comment Bug (Awaiting Moderation)
Başıma geldiği üzere, WordPress 2.5.1 sürümünün commentlerle ilgili bir bug’ı bulunuyor.
Normal olarak WordPress’in admin panelindeki comment sekmesinde görüntülenmesi gereken Comment’ler bir nedenden ötürü görüntülenemiyor ve eğer commentleri moderasyon altında tutuyorsanız bu yorumların blogda görüntülenmesini sağlayamıyorsunuz.
Sorunun nedeni ise blog verilerini tuttuğunuz database’deki wp_comment tablosundaki comment_date_gmt isimli sütunun indexlenmemiş olması ile ilgili. Ilgili bu sütuna index tanımlaması yaparsanız sorununuz çözülüyor.
