Rss

  • linkedin

Archives for : Wordpress

WordPress släpper säkerhetsuppdatering (3.0.4)

Ett säkerhetshål har hittats i en metod som saniterar html-kod. WordPress anger att problemet är allvarligt och rekommenderar att uppgradering till 3.0.4 skall ske omedelbart.

Mer information hittar ni här: http://wordpress.org/news/2010/12/3-0-4-update/

  —  Johan Ryberg

Samlade IT-säkerhetsnyheter

Jag håller på att bygga upp en nyhetssida för att samla olika nyheter via RSS-flöden som är IT-säkerhetsrelaterade på ett eller annat sätt.

Just nu kan ni läsa dem på http://securit.se/it-sakerhetsnyheter/ men jag är inte riktigt nöjd med presentationen och tar därför tacksamt mot förslag för antingen en plugin till WordPress som visar nyhetsflöden på ett bra sätt eller en extern motor som samlar RSS-flöden och presenterar dem på ett lättläst sätt.

— Johan Ryberg

.. och nu finns det en känd sårbarhet i WordPress 3.0.1

Även om inte MustLive hittade säkerhetshål i senaste versionen av WordPress så har David Vieira-Kurz från det tyska företaget Majorsecurity gjort det. Han har hittat en XSS-sårbarhet som påverkar den senaste versionen av WordPress 3.0.1 och eventuellt även tidigare versioner. Majorsecurity klassar sårbarheten som mindre allvarlig även om man i teorin kan injicera parametrar till wpadmin/plugins.php så är det inte lätt att hitta lämpliga kandidater men möjligheten finns och därför bör man tills vidare logga ut från WordPress när man besöker andra sidor tills dess att WordPress har säkrat hålet.

— Johan Ryberg

Källa: http://www.majorsecurity.net/wordpress-3-xss.php

Det blev inga sårbarheter för WordPress 3 denna gång

Som jag tidigare rapporterade om så skulle den Ukrainska säkerhetsforskaren “MustLive” släppa 8 sårbarheter till WordPress men inga av dessa gällde 3.0. De flesta gällde den äldre versionen 2.5 och som vanligt bör man alltid hålla sig uppdaterad så använder ni inte 3.0.1 är det hög tid för att uppgradera.

För den som vill läsa mer kan läsa via Google Translate direkt från källan: http://translate.google.com/translate?hl=en&u=http://websecurity.com.ua/4420/&sl=uk&tl=en

— Johan Ryberg

8 nya sårbarheter i WordPress kommer snart att delges

Nyss delgav MustLive via Full-Disclosure (som jag skrev om för ett par dagar sedan) att han hittat 8 sårbarheter i WordPress vilket han snart kommer att gå ut med. Det skall bli spännande att se om dem gäller den nya motorn 3.0.1 eller om det gäller äldre installationer.

Om det gäller 3.0.1 så lär det bli bråda dagar att säkra sina installationer.

Uppdatering kommer så fort som möjligt.

— Johan Ryberg

Sårbarhetsjakt i WordPress – Sist hittades 82 sårbarheter

Säkerhetsforskaren MustLive från Ukraina utförde 2007 “Days of bugs in WordPress” där han avslöjade hela 82 säkerhetshål. Idag påbörjar han “Days of bugs in WordPress 2”  där han kommer att publicera säkerhetshål som han har hittat från 2007 fram tills nu och det kan bli bråda dagar för utvecklarna hos WordPress för när han är klar med rapporteringen (till WordPress?) så kommer han att publicera detaljerad information till e-postlistan Full-disclosure gällande sårbarheterna.

Alla avancerade CMS innehåller säkerhetshål och nu när t.ex. WordPress 3.0 som är relativt ny släpptes så fanns det nya funktioner som även då innehåller nya säkerhetsproblem. WordPress 3.0.1 släpptes igår men där finns ingen information om att några säkerhetshål är tilltäppta utan det är en ren buggrättningsrunda så det kommer blir mycket spännande att se om det gäller de äldre motorerna eller om det även gäller 3.0.x.

Jag känner mig personligen dock inte orolig även om denna blogg är WordPress så är det en kalkylerad risk och eftersom bloggen är det enda som finns på detta konto och självklart är alla inloggningar helt unika så finns det inte mycket att hämta mer än att jag måste rensa allt och återställa med en backup om/när något sådant inträffar.

— Johan Ryberg

Källa:
http://websecurity.com.ua/4416/