Actualización: Ya publicaron el anuncio oficial, que por cierto me causa un poco de gracia porque mencionan mi nombre y el nick que uso para reportar vulnerabilidades más leves. 😀
Finalmente ya está disponible la versión 2.2.3 de WordPress, que corrige múltiples problemas de seguridad, entre los cuales, uno permite obtener los datos de cualquier usuario de un blog afectado.
Los archivos que cambian con respecto a la anterior versión son:
- wp-includes/default-filters.php
- wp-includes/plugin.php
- wp-includes/query.php
- wp-includes/formatting.php
- wp-includes/feed-rss2-comments.php
- wp-includes/rewrite.php
- wp-includes/version.php
- wp-includes/pluggable.php
- wp-includes/widgets.php
- wp-includes/rss.php
- wp-includes/vars.php
- xmlrpc.php
- wp-mail.php
- wp-admin/admin-ajax.php
- wp-admin/admin-functions.php
- wp-admin/rtl.css
- wp-admin/options.php
- wp-admin/install-rtl.css
- wp-admin/widgets-rtl.css
Cualquiera que esté usando WordPress 2.2.2 o versiones anteriores con permalinks habilitadas (a.k.a URL's amigables), tiene que actualizar si o si a la versión que acaban de liberar o a la beta 2 de WordPress 2.3, si no lo hace, por lo menos debe bloquear el acceso a xmlrpc.php.
Por otro lado, también me comentan que liberarán una nueva versión de WordPress MU en los próximos días.
11 replies on “WordPress 2.2.3”
Lanzado WordPress 2.2.3...
O al menos semi-oficial ya que según el roadmap faltan dos días para el lanzamiento oficial, no veo anuncio oficial y todavía quedan 5 tickets abiertos.
Alex se adelanta al lanzamiento y no es para menos ya que aparte del bug relacionado a los perm...
Nunca te pregunte si esta rama se ha corregido el bug que decias blind de sql injection gracias a parse_str...
Segun recuerdo dijiste la version 2.3 ya venia con esos cambios, pero esta no la dejaste en claro...
Saludos
Si corrige el bug ese, que básicamente es una combinación de
parse_stry la forma como son interpretadas las reglas de reescritura de URL's, el lunes haré público el advisory y una prueba de concepto.Si deseas te puedo enviar el exploit para que le des una mirada. 😉
Saludos
nah, gracias espero pacientemente el aviso al publico en general (advisory)
Saludos
Sólo espero haber escrito bien el advisory para que se me entienda, aunque personalmente creo que el exploit me parece más explicativo que todo el texto que escribí. 😀
[...] webs que hablan sobre la noticia: Buayacorp - Carrero - Mangas Verdes - SigT - g30rg3x - Inkilino - Alexseo - Agamum - Microzulo - [...]
[...] Buayacorp, SigT, Camyna [...]
venia con el 2.2.2, intente pasarme al 2.3 y al ver que es demasiado pesado, decidi volver al 2.2 y updatear al 2.2.3
gracias alex por esta explicacion 🙂
alguien que domine wordpress favor de contactar a emypes@gmail.com
alguien que me ayude a instalar wordpress.mu con postgrsql para debian
alguien que me ayude a instalar wordpress.mu con postgrsql para debian
contactarme a alexanderaltamirada@hotmail.com