La Comunidad DragonJAR

Hace poco fue publicado el WordPress 2.5.1 y ya salio un bug “serio” que permite resetear el password de administrador de un blog con WordPress instalado impidiendo así la entrada al panel de administración de este.

La solución es bastante simple y Ryan McCue nos la enseña en su blog, solo hay que modificar estos 2 archivos

Buscamos en el archivo wp-includes/pluggable.php en la Línea 1171 el siguiente código

function wp_generate_password($length = 12) {
$chars = "abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789!@#$%^&*()";

Y reemplazamos con el siguiente

function wp_generate_password($length = 12, $special_chars = true) {
$chars = 'abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789';
if ( $special_chars ) $chars .= '!@#$%^&*()';

Lo mismo hacemos con el archivo wp-login.php en la li Línea 96 buscamos este codigo..

$key = wp_generate_password();

La reemplazamos por la siguiente linea:

$key = wp_generate_password(20, false);

Si lo prefieres puedes descargar este paquete que contiene estos 2 archivos ya editados, para que solo reemplaces y listo.

Aprovecho para comentarles que hay un problema WordPress 2.5 y el Plugin Google XML Sitemaps en su versión 3.0.3.1…. Al parecer, ha habido un cambio en el sistema de caching de Wordpress, que hacia un pedido a la base de datos por cada uno de los posts creados dependiendo de la cantidad e post que tengas en tu blog habrás notado un consumo significativo en los recursos de tu servidor.

Afortunadamente Arnee, el creador del plugin, ya soluciono el problema y ha publicado la versión 3.0.3.2 (click aqui para descargar) que resuelve este problema.

Eso es todo, si no alcanzaste a leer esta información a tiempo y tu password ya fue reseteado recuerda que puedes ponerlo manualmente ejecutando….

UPDATE `wp_users` SET `user_pass` = MD5('PASSWORD AQUI') WHERE `wp_users`.`user_login` =`admin` LIMIT 1;

Eso es todo, espero que les sea útil.

Acabo de enterarme que los Blogs alojados en WordPress.com son vulnerables a dos tipos de ataques XSS (Cross-Site Scripting). Es importante decir que solo son vulnerables los sitios alojados en WordPres.com no los portales que hagan uso del sistema WordPress en su propio hosting.

Una prueba de concepto fue publicada y existe el peligro de que un Gusano pueda utilizar este tipo de vulnerabilidad para comprometer miles de blogs alojados en WordPress.com. (Ver debate de los desarrolladores en este post).

En hackerscenter.com se a publicado el full disclosure y un Video demostrativo de la vulnerabilidad, de nuevo repito que las instalaciones de WordPress descargadas de www.WordPress.ORG no son vulnerables ya que no cuentan con los archivos invite.php o users.php.

Una nueva vulnerabilidad que afecta las versiones del kernel de linux 2.6.17 hasta el 2.6.2.4.1 ha salido a la luz, este fallo permite obtener permisos de root por lo que la vulnerabilidad es GRAVE y es recomendable que apliques el parche que soluciona este fallo tan pronto puedas hacerlo.

Muchas distribuciones se han visto afectadas, desde Ubuntu Gutsy hasta openSuSE 10.2/10.3, es recomendable que pruebes el exploit en tu distro para que verifiques si eres vulnerable (si no lo eres prueba con el segundo exploit que han publicado antes de cantar victoria), de ser así puedes usar el sistema de actualizaciones de tu distribución o parchearlo manualmente. Leer el resto de la entrada »

De nuevo Alex Concha (buayacorp.com) ha descubierto una vulnerabilidad en WordPress 2.3.1con la cual se dejan ver nuestras entradas “borrador” ha cualquier persona que agregando la siguiente cadena de caracteres a la dirección de nuestro portal “?x=wp-admin/&paged=001” en caso de la comunidad seria “dragonjar.us/?x=wp-admin/&paged=001“, pero ese no es el único bug que se soluciona con esta actualización.

El segundo fallo se permite mediante un error en la base de datos mostrar la ruta y las tablas de la base de datos, es por esto que la nueva versión incluye un nuevo archivo “wp-content/db-error.php” con el cual podremos modificar el mensaje de error que pueda producir nuestra db.

ES URGENTE que actualicen su versión de WordPress.

En estos momentos el servidor esta saturado por la actualización masiva de esta versión, así que me tome el trabajo de sacar un mirror para la comunidad de la versión completa del WordPress 2.3.2 y una paquete con los archivos que fueron modificados de la versión 2.3.1 a la 2.3.2 por lo tanto solo tendrán que reemplazar estos para actualizar su WP.

Mirror Comunidad WordPress 2.3.2 COMPLETA

Mirror Comunidad WordPress 2.3.2 PAQUETE DE UPGRADE 2.3.1 a 2.3.2

Otros Bloggers que Hablaron de la noticia (I II III)

Microsoft anuncia un nuevo fallo en el sistema Windows Home Server que afecta archivos modificado con algunas aplicaciones de Microsoft y de terceros, estos tras ser editados con las aplicaciones afectadas son corrompidos y su contenido se pierde.

Los programas afectados son Windows Vista Photo Gallery, Windows Live Photo Gallery, Money 2007, OneNote 2007 y 2003, Outlook 2007 y SyncToy 2.0, además de algunas aplicaciones que no son de Microsoft como Quickbooks y Quicken.

Si no quieren perder información tendrán que esperar que Microsoft publique el parche correspondiente para solucionar estos fallos, se recomienda que hasta entonces no modifiques archivos con esas herramientas en Windows Home Server.

Para más información ver informe de Microsoft.