Немного слов о РИСКАХ WordPress 1.2, 1.5, 2.0 или что-нибыдь меньш чем 2.0.4
Введение
Я имел несколько людей использовать мой «подъем ваши места к самому последнему WordPress в 35 секундах.» вывесьте и ответьте к ему через комментарий, электронную почту и pingback. Я последовал за первым pingback и вышел этот комментарий на блог Майкл Keukert «: technozid»
Вы модернизировали от 1.5, то БОЛЬШ! Я должен сказать вам что любое активное место вне там которое бежит что-нибыдь более низко чем 2.0.3 действительно пугает меня. До вашей новой версии, я смог извлечь ВСЮ из вашей трудной работы на этом месте, извлекано доказательству я сделал его и не было бы любого traceable доказательства в вас журналы Апэйч то. То нет благоприятной ситуации, котор нужно быть внутри.
Так, если я помог одному подъему персоны от 1.5, то очень хороший день и тот столб была стоимостью оно!
Майкл, рассматривая профессионалом интернета, знает вещь или 2 о обеспеченности сети и вебсайта. В ответ на мой комментарий, он написал:
Я смог наилучшим образом понять (и фактически я был очень осведомлен риска) то кто-то могло скомпрометировать мою установку WordPress и вероятно даже стереть не только содержание но также некоторые архивы. Однако я имею трудное время принять что это смогло быть сделано БЕЗ СЛЕДА, не даже в logfiles Апэйч!
Майкл хотело знать почему он не услышал бы такой бреши в системе безопасности. И, почему, если были знаны, что существовали эти бреши в системе безопасности, то нет большого обсуждения на этом? По-существу, почему объявления новой версии бедного человек любые объяснили как критическо они?
Он имеет пункт.
В 2.0.3 объявление , мы были сказаны:
Это отпуск починки и обеспеченности черепашки, и порекомендовано для всех потребителей WordPress. В дополнение к вопросу который был поднят на Bugtraq немного дней тому назад, мы также backported несколько повышений обеспеченностью от 2.1 более далее для того чтобы увеличить и защитить ваш блог.
Мы думали: О'кей, несколько повышения было backported. Конечно, оно звучает как оно могл быть стоимостью модернизируя, когда-то… То не звучает все которым новости достойные делают его?
Между тем, 2.0.3 ввели самый важный всегда добавляемый признак безопасности WP. Он представляет большинств нападения невозможным. Вы угадали бы это от описания?
В 2.0.4 объявление , мы были сказаны:
Этот отпуск содержит несколько важных починок обеспеченностью, поэтому он высоки - порекомендовано для всех потребителей. Мы также свертывали в нескольких починок черепашки (над 50!), поэтому довольно твердый отпуск через доску.
[...]
В виду того что это отпуск обеспеченностью, если вы имеете любых друзей с блогами убеждаться напомнить их для того чтобы модернизировать и одолжить руку, то если они слишком не сообразительный. Мы все в этом совместно.
Мы думали: Наилучшим образом, снова, то не звучает совсем то страшное, даже с красной зеленой цитатой. Я угадываю что возможно я должен модернизировать когда-то. (После этого мы быстро пошли назад к нашей обычной жизни.)
И теперь в 2.0.5, мы были сказаны:
Новое время отпуска. Самая последняя в нашей досточтимой 2.0 сериях, которая теперь подсчитывает над 1.2 миллиона загрузками, имеющаяся для загрузки немедленно, и нас предлагает каждое подъем по мере того как это включает починки обеспеченностью.
Мы думали: Посмотрите, оно все еще работает отлично для меня. Я уверенный не идти изменить теперь…
Все в всех: Так что!?!?!
Теперь, если подвиги как весьма, то по мере того как я говорил, почему объявления не весьмаее? Это должно к что-то вызванная «обеспеченность через невыясненность» и я получу назад к тому внутри немного. Длинний рассказ, сделанный не доходя, что каждый отпуск сделан для того чтобы звучать не как важным по мере того как он действительно, для того чтобы держать вас более безопасной, в то время. Проблема, там никакой путь пойти назад теперь и сказать «BTW, даже если я не сказал так, вовремя, те отпуски были ДЕЙСТВИТЕЛЬНО важны.» И то, мои друзья, чего значены, что делает эта статья.
[...] Если вы все еще не убежены, то, вы должны прочитать эту не пока опубликованную статью (). Брайан, 27-ое октября 2006, час [...] pm 11:17
Pingback подземельем Кода - 11:17 pm 27-ое октября 2006 @
im огорченное - youre действительно длиной winded, и это нет новых содержания ИЛИ новостей. И возможно он как раз я, но вы кажетесь немногой «вполне из себя».
Комментирует bleh - 10:19 pm 11-ое декабря 2006 @
Окончательно, «длинний столб». Я радостен вы нашел время закончить его.
Другой аспект к «хакерам изыскивает сдержанную славу»: Конечно, defacing место на «утесах любимчика» не приносит вам славу. Но defacing 24.5 миллиона (или даже только 10.000) места на утесах любимчика и другие сортированные особые интересы в одиночной серии уверенно приносит вам славу также. Делать поиск Google для вашего leet-говорят-hackername и получать миллионы результатов для мест «прорубленные» вы делаете вами semi-бога.
О'КЕЙ, теперь получает этот столб к Digg, Slashdot, Gadgetopia etc.
Комментарий 4:47 am Майкл - 12-ое декабря 2006 @
30 миллионов уязвимые места Wordpress…
Я имел длинномерный переговор электронной почты с неспециалистом Брайан несколько месяцев тому назад о проблемах безопасности в Wordpress, и потребность мотировать потребителей Wordpress (кого более часто чем не неспециалисты [отсутствие предназначенного каламбура сами]) для того чтобы модернизировать. Брайан desillusione бита…
Trackback technozid - 7:47 am 12-ое декабря 2006 @
К Bleh: Я знаю чего вы значите. Оно длиной winded, и это почему оно остался в скоросшивателе проекта для настолько длиной. Оно первоначально шл быть очень технической статьей описывая 5 нападений я выбрал вне. Но по мере того как я написал, я держал на думать о моей потенциальной аудитории и должен шагнуть назад немного дальнейшее и включить больше из foundational знания. Я не пристреливаю людей техника. Я не пристреливаю те которые уже модернизировали. Большинств techies уже модернизировали.
Так, да, старые новости к нам, но я достигаю вне к тем которые имели один или два миллиона лет. Я надеющся я правильно пристреливал эту статью к им. Я могу прослеживание на ем с более техническим веществом в днях прийти. Я все еще говорю о нападениях на местах версии 1.5 и 2.0, но хотя бы он будет немного больше… geekalicious слово? Никак… Я не думаю что он….
Комментарий 9:48 am Брайан - 12-ое декабря 2006 @