Acabo de leer en Kriptopolosis (mediante los RSS de www.justmc.com) que WordPress, el sistema de gestion de contenido utlizado por muchos Blogs tiene un fallo en su codigo PHP. Este fallo afecta hasta su version mas reciente 1.5.1.3.
Segun Secunia su fallo radica en un mal manejo de la entradas ralizadas por cookies, siempre que este register_global activado.
Ya saben los dueños de blogs que utilizen este sistema, es de suma importancia que desactiven register_global.
Por ahora WordPress no a sacado ningun parche.
Un avion con destino a Gran Canaria se estrella e en la T4 de Barajas
Nuevo malware interviene el portapapeles de Windows
Barcelona acogera un nuevo congreso sobre innovacion y tecnologia en 2009
All Sonic No Boom - Mach Plus travel is back
Yougle accede a YouTube y Flickr desde el Windows Media Center
No estas logeado para comentar
Parte de:
2005-08-10 11:43:37
Según el manual de PHP, correr PHP con register_globals=on es, por lo menos, imprudente. Y por eso, desde hace varias versiones, la configuración por defecto es off. Considerando que para usar WordPress es necesario instalarlo en algún servidor, para protegerse de esta vulnerabilidad basta asegurarse de que el servidor en cuestión no tiene register_globals habilitado.
Del website de php (http://www.php.net/register_globals):
When on, register_globals will inject (poison) your scripts will all sorts of variables, like request variables from HTML forms. This coupled with the fact that PHP doesn't require variable initialization means writing insecure code is that much easier. It was a difficult decision, but the PHP community decided to disable this directive by default. When on, people use variables yet really don't know for sure where they come from and can only assume.
Solo vayan a php.ini y cambien la confi a OFF