Historias
Slashboxes
Comentarios
Búsqueda

Login Barrapunto

Login

[ Crear nueva cuenta ]

WordPress 2.1.1 fue manipulado

editada por Yonderboy el 03 de Marzo 2007, 20:43h   Printer-friendly   Email story
desde el dept. actualizar-rápidamente
Intrusiones
Un pobrecito hablador nos cuenta: «Acabo de leer en Kriptopolis el articulo WordPress 2.1.1 fue manipulado. Según cuentan en Kriptópolis, un intruso logró acceder a uno de los servidores de WordPress.org y modificar la versión 2.1.1, de modo que incluyera código malicioso fácilmente explotable de forma remota. La "solución" al problema consiste en actualizarse a la versión 2.1.2 cuanto antes. Más información en el sitio de wordpress

Este hilo ha sido archivado. No pueden publicarse nuevos comentarios.
WordPress 2.1.1 fue manipulado | Log in/Crear cuenta | Top | 22 comentarios | Buscar hilo
Mostrar opciones Umbral:
Y recuerda: Los comentarios que siguen pertenecen a las personas que los han enviado. No somos responsables de los mismos.

  • Conservador

    (Puntos:2, Interesante)
    por AndresVia (29991) <andres.via@gmail.com> el Sábado, 03 Marzo de 2007, 21:37h (#884720)
    ( http://andresvia.blogspot.com/ | Última bitácora: Miércoles, 06 Junio de 2007, 12:23h )

    Quienes somos conservadores no nos cambiamos tan rápido a la nueva versión, no es cuestión de pereza si no precaución.

    Ahora que leí la noticia aproveche para actualizarme a la versión 2.0.9, antes estaba en la 2.0.6.

    Voy a esperar un rato antes de hacer el cambio de versión "mayor".

    • Re:Conservador de AndresVia (Puntos:1) Sábado, 03 Marzo de 2007, 21:43h
      • Re:Conservador de pobrecito hablador (Puntos:1) Sábado, 03 Marzo de 2007, 21:47h
    • Re:Conservador de azaras (Puntos:1) Domingo, 04 Marzo de 2007, 00:04h

      • Re:Conservador

        (Puntos:4, Interesante)
        por Tangarallo (7778) el Domingo, 04 Marzo de 2007, 01:08h (#884763)
        ( http://tangarallo.cjb.net/ )

        No necesariamente, no es la primera vez que en una versión estable por cualquier motivo, al intentar arreglar un fallo, introducen un par de bugs nuevos y te tiran el sistema. Con el Kernel de Linux no sería la primera vez que dispositivos dejan de funcionar entre versiones.

        Esto si estás en casa no pasa nada, se vuelve a la versión anterior y arreglado, pero si pasa en un sistema en producción de una empresa, empieza a sacar la calculadora y a multiplicar precio hora personal * horas de caída.

        La teoría de los libros está muy bien, pero te voy a regalar la mía, una versión no es estable porque lo digan sus programadores, es estable cuando lo demuestre. ¿Quién en su sano juicio instalaría un Kernel 2.6.0 un MySQL 5.0.0 un Apache 2.0.0 a los dos días de salir, en un sistema de producción por muchas pruebas y tests que se le hicieran y una nota al pié de la página diga que es una versión estable.?

        [ Padre ]
    • Re:Conservador de RinzeWind (Puntos:3) Domingo, 04 Marzo de 2007, 00:10h

  • Confundido

    (Puntos:2, Inspirado)
    por saisyukusanagi (27227) el Domingo, 04 Marzo de 2007, 03:52h (#884775)
    ( Última bitácora: Viernes, 20 Junio de 2008, 05:04h )
    Bueno, y quien garantiza que eso tampoco pase con la 2.1.2, me di cuenta el ayer cuando intente instalarlo por primera vez en la empresa que laboro (un gran ISP), mi intención era montar un blog para los clientes y pues en un ambiente LAMPP WordPress parecía la mejor alternativa, afortunadamente después de varios intentos de descarga apareció un mensaje que decía que no habían descargas disponibles.

    No es la primera vez que esto sucede, y bueno eso me hace pensar que hay una gran distancia entre un programador web, y un administrador del sistema. Todos sabemos que en este mundo nadie es perfecto, pero he tenido muchas experiencias donde los programadores Web no se preocupan por la seguridad de nada ni de sus aplicativos, ni de la plataforma en la que se hospeda ni nada. No quiero protestas, se que en esta comunidad hay mucha gente muy consciente de la seguridad y excelentes programadores Web conscientes de este hecho, pero esta claro que allí afuera no. Es mas, he conocido "desarrolladores" que aun usan esqueletos de phpNuke de cinco años atrás y bueno aun ganan mucho vendiendo ropa vieja.

    Quedo confundido, porque muchas veces hay pocas alternativas libres para un fin en común. Tal es el caso del phpMyAdmin y sus numerosas y peligrosas vulnerabilidades, pero hay acaso algo mejor, o mas practico y completo ... No lo se, no me ha quedado otra de pasármela en la Web buscando quien descubra algo y parchear o actualizar.

    Y bueno con unas licencias libres de absolutamente no garantía, pues nada que hacer. Solo ten cuidado y mantente actualizado, increíble que en el sitio de WordPress ni siquiera se vea en letra pequeña una disculpa por parte de los responsables, y eso es lo menos que se podía esperar, entro hoy a el website y mucho menos veo una advertencia para que la gente se actualice.

    Acaso la gente se la pasa en internet buscando si un buen samaritano le dice que el software que usa tiene errores?

    Gracias barrapunto y gracias comunidad. De verdad hace falta mas gente como ustedes en el mercado laboral. Y bueno lastima por los que hayan bajado el WordPress 2.1.1 y se enteren de otra forma del problema ya cuando haya poco por hacer.
    • Re:Confundido de Defero (Puntos:3) Domingo, 04 Marzo de 2007, 13:38h
    • Re:Confundido de bubapf (Puntos:1) Domingo, 04 Marzo de 2007, 18:00h
      • Re:Confundido de Peluca (Puntos:3) Lunes, 05 Marzo de 2007, 09:44h
        • Re:Confundido de josergc (Puntos:1) Lunes, 05 Marzo de 2007, 11:05h
          • Re:Confundido de Peluca (Puntos:1) Lunes, 05 Marzo de 2007, 12:01h
            • Re:Confundido de Peluca (Puntos:1) Lunes, 05 Marzo de 2007, 16:39h
            • 1 respuesta por debajo de tu umbral de lectura actual.

  • Menudo susto ...

    (Puntos:2)
    por toci (4853) el Domingo, 04 Marzo de 2007, 21:57h (#884925)
    ( http://blogs.publico.es/informatica | Última bitácora: Martes, 10 Junio de 2008, 10:54h )
    ... hace dos días que estreno blog [contrabajo.org] y me encuentro con que es vulnerable, con el trabajo que me ha costado migrar los contenidos que estaban en HTML estático. Por fortuna, no me entró nadie y ya lo actualicé.

  • Licencia + tipo de auditación

    (Puntos:1, Interesante)
    por pobrecito hablador el Sábado, 03 Marzo de 2007, 23:17h (#884742)
    Además de la licencia, que define lo que se puede hacer con el código, se podría agregar como fue auditado. De hecho se podría incluso crear un conjunto de estándares. Eso sería muy util, porque indicaría el grado de calidad / seguridad / eficiencia del código. Así sabríamos que aparte de ser GPL 2 cierto programa es XYZ 1.0, que nos diría que el programa es fue auditado como dice XYZ 1.0.
    [ Padre ]

  • Re:Software libertino

    (Puntos:4, Informativo)
    por pobrecito hablador el Sábado, 03 Marzo de 2007, 23:59h (#884754)

    No puede ser que cualquiera sin credenciales envíe parches

    Si no he entendido mal la noticia [wordpress.org], no es que alguien haya enviado un parche con "sorpresa" incluida, y los desarrolladores hayan incluido este parche "a ciegas". Lo que parece haber ocurrido es que algún hijo de mala madre se ha colado en el servidor de descargas de wordpress.org, y ha modificado el archivo sin que nadie le hubiera dado permiso para ello. Este tipo de incidencias puede afectar a cualquiera que ponga software para descargar en una web. Es como si tú "juankeas" el servidor de Softonic, y cuelas una copia de Photoshop con "regalito". El problema no es del modelo de desarrollo de Photoshop, ni del modelo de desarrollo de Wordpress; el problema es de un servidor de descargas demasiado expuesto a "juankeos".

    [ Padre ]
  • 2 respuestas por debajo de tu umbral de lectura actual.