Tag : ‘security’

WordPress : το νέο phpbb ?

web hosting, wordpress - 10.02.2008 12:45 - δεν υπάρχουν σχόλια

Wordpress : το νέο phpbb ?

Την ώρα που απορώ και δυσανασχετώ για το νέο upgrade του wordpress στην έκδοση 2.3.3, σχεδόν ούτε καν να συμπληρωθούν 2 μήνες από το προηγούμενο, πέφτω πάνω σε αυτό το άρθρο, που προσπαθεί να αιτιολογήσει και να αποκαθηλώσει το worpdress από την πρωτοκαθεδρία του ως πλατφόρμα στην συνείδηση της συντριπτικής πλειοψηφίας των ενασχολούμενων με το blogging.

Δεν θέλω να αναλύσω εδώ, το κατά πόσο συμφωνώ ή όχι με τα γραφόμενα του άρθρου, προσπαθώ όμως να το ψάξω λίγο παραπάνω και να δω τις διαφορές μεταξύ των δύο εκδόσεων (2.3.2 & 2.3.3)

Tρέχω από το subversion την ακόλουθη εντολή :

$ svn diff –old=http://svn.automattic.com/wordpress/tags/2.3.2 \
–new=http://svn.automattic.com/wordpress/tags/2.3.3

και διαπιστώνω ότι εκτός κάποιων μικρών bugs που διορθώνονται σε 5 συνολικά αρχεία, η μεγάλη αλλαγή έρχεται με το security fixed του xmlrpc.php, στο changeset 715 για το οποίο στο wordpress υπάρχει ανοικτό ticket εδώ και 3 μήνες!

προσπαθώ να βρω κάπου στο δίκτυο τι ακριβώς επίδραση είχε αυτό το security hole σε ένα worpdress εγκατεστημένο σε server και βρίσκω την ανάλυση του προβλήματος σε αυτό το blog, όπου και αντιγράφω :

the problem is in mw_editPost. It only validates that you can edit the post if the post_type is “post”. But the post_type is exactly what you say it is, and it’s easy to lie and say something is a page when it’s actually a post, and edit it in the same way as a post (but while circumventing the checks). I think another routine has the same problem.
I created an ordinary subscriber with no special permissions and uploaded a special rpcxml file.
(xml available on request, I don’t feel like messing with the tags at 5 am)
And was able to edit the post with ID 283, with nothing other than a subscriber account.

Θεωρώ πολύ σοβαρό, ότι τόσο σημαντικά security holes, κάνουν 3 μήνες να επιλυθούν. Από την άλλη δεν ξεχνάω, ότι με κάτι πακέτα one click installation που κυκλοφορούν, τύπου fantastico & installatron, ψάχνουμε ψύλλους στα άχυρα όταν είναι κάτι παραπάνω από σίγουρο ότι υπάρχουν wordpress εγκατεστημένα σε servers τα οποία βρίσκονται πολλές εκδόσεις πίσω …

Σκέφτεται, αλήθεια κανείς να χρησιμοποιήσει το worpdress ως CMS σε κάποιο «σοβαρό» site; Δεν θέλω να είμαι απόλυτος, αλλά όπως έχουν τώρα τα πράγματα, μάλλον δεν είναι κάτι παραπάνω από μια πλατφόρμα που την χρησιμοποιούμε για να κάνουμε το hobby μας.