Feed RSS de Tudo Para WordPressNosso Feed RSS Comentários RSS de Tudo Para WordPressComentários

Vulnerabilidade descoberta no WordPress

Postado por Guga Alves  
No dia 19 de outubro de 2009


Foi descoberto um grave erro no arquivo wp-trackback.php que permite derrubar nosso servidor em menos de 5 minutos e pode deixar o WordPress consumindo recursos do servidor indefinidamente.

Para descobrir como corrigir tal erro e ler mais informações a respeito, clique aqui.

Esperamos que tal erro seja prontamente corrigido na versão 2.9. Até o presente momento, a versão beta disponibilizada para os wp-testers (Beta Testers do WP, no qual me incluo) não possui tal correção.

Update: o Site BrPoint mostra outra forma de evitar tal problema. Para tal basta incluir a função abaixo no functions.php

function ft_stop_trackback_dos_attacks(){
    global $pagenow;
    if ( 'wp-trackback.php' == $pagenow ){
        // DoS attack fix.
        if ( isset($_POST['charset']) ){
            $charset = $_POST['charset'];
            if ( strlen($charset)> 50 ) {  die; }
        }
    }
}
add_action('init','ft_stop_trackback_dos_attacks');


Leia também:

  1. WordPress 3.0 Beta 2 Foi lançada neste dia 06 de maio o WordPress 3.0...
  2. WordPress 2.7 Beta 2 Liberado o segundo beta do WordPress, a divisão de conteúdo...
  3. WordPress 2.8 Beta 1 lançado Foi oficialmente lançada a primeira versão beta do WordPress 2.8....
  4. WordPress 2.8.6 – Atualização de segurança A Atualização para a versão 2.8.6 corrige 2 problemas de...
  5. WordPress 2.7 Beta 1 é lançado para o público   O primeiro lançamento do WordPress 2.7 acaba de ser...

Comentários

6 Respostas em “Vulnerabilidade descoberta no WordPress”

  1. Guga Alves em 22 de outubro de 2009 as 0:14

    UPDATE: Vulnerabilidade já resolvida no WP 2.8.5 !

  2. Guga Alves em 20 de outubro de 2009 as 19:01

    Oi Guilherme,

    Ao que tudo indica, esta foi a solução mais simples encontrada pela equipe de desenvolvedores do WordPress. Provavelmente dentro das 24hrs será liberada a versão 2.8.5 para corrigir este erro e mais alguns outros bugs menores..

    Abraços

  3. Guilherme Desimon em 20 de outubro de 2009 as 15:32

    Se eu mudar essa linha no wp-trackback.php:

    52. if ($charset)
    53. //$charset = strtoupper( trim($charset) );

    Para essa:
    52. if ($charset)
    53. $charset = str_replace( array(‘,’, ‘ ‘), ”, strtoupper( trim($charset) ) );

    Já resolve?

    Peguei isso no changeset (http://core.trac.wordpress.org/changeset/12057)

    Abraço!

  4. Bruno Alves em 20 de outubro de 2009 as 14:32

    Já tem ticket aberto e a solução vai entrar na versão 2.8.5.

    Abraço

  5. Guga Alves em 20 de outubro de 2009 as 12:09

    Ainda não, mas não esqueci não, já anotei o que ocorre e vou registrar por lá (isso se alguém já não o tiver feito)..

    Abraços !

  6. Rics em 20 de outubro de 2009 as 9:58

    Já cadastrou o ticket de erro lá no site do WordPress? Eles só vão corrigir se souberem que o erro existe.

    :)

Sinta-se livre para deixar um comentario...
Se você quiser uma foto para ser mostrada no seu comentário, crie um gravatar!