WordPress 2.2.3

Actualización: Ya publicaron el anuncio oficial, que por cierto me causa un poco de gracia porque mencionan mi nombre y el nick que uso para reportar vulnerabilidades más leves.

Finalmente ya está disponible la versión 2.2.3 de WordPress, que corrige múltiples problemas de seguridad, entre los cuales, uno permite obtener los datos de cualquier usuario de un blog afectado.

Los archivos que cambian con respecto a la anterior versión son:

wp-includes/default-filters.php
wp-includes/plugin.php
wp-includes/query.php
wp-includes/formatting.php
wp-includes/feed-rss2-comments.php
wp-includes/rewrite.php
wp-includes/version.php
wp-includes/pluggable.php
wp-includes/widgets.php
wp-includes/rss.php
wp-includes/vars.php
xmlrpc.php
wp-mail.php
wp-admin/admin-ajax.php
wp-admin/admin-functions.php
wp-admin/rtl.css
wp-admin/options.php
wp-admin/install-rtl.css
wp-admin/widgets-rtl.css

Cualquiera que esté usando WordPress 2.2.2 o versiones anteriores con permalinks habilitadas (a.k.a URL's amigables), tiene que actualizar si o si a la versión que acaban de liberar o a la beta 2 de WordPress 2.3, si no lo hace, por lo menos debe bloquear el acceso a xmlrpc.php.

Por otro lado, también me comentan que liberarán una nueva versión de WordPress MU en los próximos días.

8 Comentarios

1 g30rg3_x (7 de septiembre de 2007, 10:50:51 pm) http://g30rg3x.com/
Nunca te pregunte si esta rama se ha corregido el bug que decias blind de sql injection gracias a parse_str...
Segun recuerdo dijiste la version 2.3 ya venia con esos cambios, pero esta no la dejaste en claro...

Saludos
2 alex (7 de septiembre de 2007, 10:57:02 pm) http://www.buayacorp.com
Si corrige el bug ese, que básicamente es una combinación de parse_str y la forma como son interpretadas las reglas de reescritura de URL's, el lunes haré público el advisory y una prueba de concepto.

Si deseas te puedo enviar el exploit para que le des una mirada.

Saludos
3 g30rg3_x (7 de septiembre de 2007, 11:06:10 pm) http://g30rg3x.com/
nah, gracias espero pacientemente el aviso al publico en general (advisory)

Saludos
4 alex (7 de septiembre de 2007, 11:49:09 pm) http://www.buayacorp.com
Sólo espero haber escrito bien el advisory para que se me entienda, aunque personalmente creo que el exploit me parece más explicativo que todo el texto que escribí.
5 j0an (28 de septiembre de 2007, 03:19:45 pm) http://j0an.com.ar
venia con el 2.2.2, intente pasarme al 2.3 y al ver que es demasiado pesado, decidi volver al 2.2 y updatear al 2.2.3

gracias alex por esta explicacion
6 david (12 de noviembre de 2008, 02:17:35 pm)
alguien que domine wordpress favor de contactar a emypes@gmail.com
7 alexander (29 de mayo de 2009, 10:22:38 am) http://refjire
alguien que me ayude a instalar wordpress.mu con postgrsql para debian
8 alexander (29 de mayo de 2009, 10:24:32 am) http://refjire
alguien que me ayude a instalar wordpress.mu con postgrsql para debian
contactarme a alexanderaltamirada@hotmail.com

3 Trackbacks

Por SigT el 7 septiembre 2007 a las 6:25 pm

Lanzado WordPress 2.2.3...

O al menos semi-oficial ya que según el roadmap faltan dos días para el lanzamiento oficial, no veo anuncio oficial y todavía quedan 5 tickets abiertos.

Alex se adelanta al lanzamiento y no es para menos ya que aparte del bug relacionado a los perm...
Por Nueva version de WordPress (2.2.3) | La WeB de DragoN el 8 septiembre 2007 a las 10:10 pm

[...] webs que hablan sobre la noticia: Buayacorp - Carrero - Mangas Verdes - SigT - g30rg3x - Inkilino - Alexseo - Agamum - Microzulo - [...]
Por Los diarios de Lenny Nero » Wordpress 2.2.3 el 13 septiembre 2007 a las 3:26 pm

[...] Buayacorp, SigT, Camyna [...]

Buayacorp

Suscribirse

WordPress 2.2.3

8 Comentarios

3 Trackbacks

Publicar un Comentario Cancel reply

Patrocinados

Populares

Últimos comentarios

Amigos

Ayudanos a seguir

Buayacorp

Post más populares