Problemi di sicurezza per WordPress 2.5
Venerdì 18 Aprile 2008 - 08:33
di Claudio Garau
I CMS non sono mai esenti da falle e bug, in particolare se si parla di applicazioni abbastanza complesse come è per esempio il caso di WordPress, un blog engine composto da centinaia di migliaia di righe di codice. Se poi parliamo di nuove release il discorso è ancora più serio, infatti per quanto gli sviluppatori si sforzino di tappare tutti i buchi possibili solo i test di migliaia di utenti permettono di riportare a galla le vulnerabilità più insidiose.
Nel caso specifico di WordPress 2.5, nelle ultime ore sono state segnalate tre falle a carico dell’applicazione, due “critiche” ma che per loro natura possono essere difficilmente causa di problemi (una di esse è tra l’altro in odore di bufala), la terza è invece considerata di livello “medio” e in alcuni casi particolari potrebbe creare qualche grattacapo agli utilizzatori di questo blog engine.
Vediamo nello specifico le caratteristiche di queste problematiche:
- la prima vulnerabilità permetterebbe la creazione di utenti a coloro che non hanno i permessi per poterlo fare, per questa falla esiste già una patch ma è da sottolineare il fatto che non si tratta di un pericolo estremamente concreto; infatti perché si corrano dei rischi si dovrebbero assegnare privilegi di alto livello a semplici utenti/lettori come per esempio gli iscritti alle newsletter, ma in questo caso il vero “bug” sarebbe lo stesso amministratore del blog…
- la seconda falla è più che altro un sospetto, infatti alcuni utilizzatori avrebbero segnalato la possibilità di SQL injection a carico di WordPress 2.5 sulla base di una vulnerabilità segnalata su versioni precedenti; una fonte autorevole come WordPress Italy smentisce comunque la veridicità di questa segnalazione.
- l’ultimo bug riguarderebbe un problema a carico del nuovo sistema di codifica delle password introdotto con la versione 2.5; nel file di configurazione di WordPress il valore della costante SECRET_KEY andrebbe sostituito con una frase o una serie di caratteri alfanumerici molto lunga per evitare la possibilità (comunque remota) di un crack dell’applicazione.
Al di là del livello di gravità (e in alcuni casi di veridicità) delle problematiche elencate, il consiglio è sempre lo stesso: mantenere sempre aggiornato il proprio CMS.