Al momento stai visualizzando Ennesima falla critica di WordPress, bufala o realtà ?

Ennesima falla critica di WordPress, bufala o realtà ?

  • Autore dell'articolo:
  • Categoria dell'articolo:News

àˆ trapelata oggi la notizia di una falla di wordpress sulla falsariga di quella, piuttosto grave, segnalata di recente a proposito di Drupal (Nuovo update per Drupal risolve una falla grave di SQL injection); a quanto sembra, si tratta di un problema di SQL injection, di nuovo, a cui sarebbero soggetti tutti i blog in wordpress (“10 milioni di webserver”, secondo il sito) mediante il modulo dei commenti. La cosa, quindi, sembrerebbe riguardare un problema di parsing dell’input dei commenti e non riguarda, ovviamente, i blog in wordpress senza commenti abilitati o quelli che hanno utilizzato Disqus. Nel dubbio, si possono per precauzione disabilitare i commenti del proprio blog in WP mediante un plugin come Disable Comments, sia in modo temporaneo che – se la falla fosse grave, reale ed irrisolvibile in tempi brevi – definitivo.

I bollettini ufficiali che ho consultato finora riportano una falla di SQL injection che pero’ interessa solo le vecchie versioni di wordpress (0.7) – cvedetails e us-cert – e non pare ci sia traccia del problema, almeno per il momento. àˆ possibile che la falla sia stata scoperta e non svelata, o venga svelata solo a pagamento agli interessati.

La segnalazione, oltre ad essere vaga e senza dettagli – fino a prova contraria, non si può fare a meno di rimanere scettici – rischia di generare allarmismo ingiustificato negli utilizzatori di wordpress, senza contare che l’articolo riporta gravi inesattezze sul software open source: “potrebbe trattarsi di un colpo molto serio alla credibilità  del software Open Source (sic)” – e poi riporta un non sequitur da manuale scrivendo “immaginate Android colpita da un worm massivo“. Tanto per intenderci, il software open source non comporta, di per sè, un rischio maggiore in fatto di sicurezza: semmai è vero il contrario, ovvero che quello closed sia meno sicuro e, anzi, in molti casi le vulnerabilità  vengono addirittura nascoste, se non rivendute, per molto tempo. In effetti anche il sito in questione nella pagina di rimando va a vantarsi, per cosଠdire, di avere delle vulnerabilità  zero-day che non ha ancora svelato, e che sono pronto a scommettere che svelerà  a pagamento (ammesso che ce le abbia davvero). Certo è che quella che sembrava un trend diffuso da alcuni hacker francesi – Vupen, che vendono le falle informatiche che scoprono – a quanto pare altri hanno deciso di seguire la scia: speriamo che non sia davvero cosà¬.

Pubblicità - Continua a leggere sotto :-)

(Tophost) l' hosting web più economico - Usa il coupon sconto: 7NSS5HAGD5UC2

Sei un webmaster? Prova TheMoneytizer per il tuo sito

Indizi che si tratta di una bufala: il nome della persona che firma il comunicato (“Janita“, senza cognome), l’inglese non corretto (“affects tens of millions of web servers“), la mancanza di dettagli su come replicare la falla (ma se hanno intenzione di rivendere l’informazione, c’è da aspettarselo), senza contare che il sito che riporta la notizia è stato – ironicamente, a questo punto – realizzato in Bolt, che (manco a dirlo) è un software free e open source diffuso su GitHub. Il sospetto di una manovra virale – dato che la notizia sarà  replicata ad oltranza su vari siti senza verifiche, c’è da scommetterci – è a questo punto molto, molto forte. Staremo a vedere, al momento non è possibile saperne di più almeno fin quando qualcuno non pubblicherà  una proof of concept.

Sul sito che ha riportato la notizia (che non linko perchè riporta semplicemente un indirizzo email a cui chiedere informazioni, e che ho contattato privatamente poco fa per capire qualcosa in più: ripeto, non voglio generare allarmismi gratuiti come molti faranno, sospetto una manovra di viral marketing per promuovere un blog CMS a pagamento) non sono indicate nè prove nè dettagli, nè tantomeno proof of concept: il sospetto che si tratti di una bufala è molto forte, in mancanza di altre informazioni in merito, perchè quel comunicato potrebbe averlo scritto chiunque, anche in modo volutamente generico e pretestuoso (per spillare soldi agli ingenui, per intenderci).

Non appena avrò altre informazioni aggiornerò il post di conseguenza.

Photo by Nikolay Bachiyski

Pubblicità - Continua a leggere sotto :-)
Sei un webmaster? Prova TheMoneytizer per il tuo sito
Cerchi alternative a Google Adsense per il tuo sito? Prova TheMoneytizer!
Usa il codice 189ed7ca010140fc2065b06e3802bcd5 per ricevere 5 € dopo l'iscrizione

Pubblicità - Continua a leggere sotto :-)

👇 Contenuti da non perdere 👇



Trovalost esiste da 4695 giorni (13 anni), e contiene ad oggi 4356 articoli (circa 3.484.800 parole in tutto) e 23 servizi online gratuiti. – Leggi un altro articolo a caso

Numero di visualizzazioni (dal 21 agosto 2024): 0
Pubblicità - Continua a leggere sotto :-)
Segui il canale ufficiale Telegram @trovalost https://t.me/trovalost
Seguici su Telegram: @trovalost

Trovalost.it

Ho creato Trovalost.it e ho scritto quasi tutti i suoi contenuti relativi all'informatica. Credits immagini: pexels.com, pixabay.com, wikipedia.org, Midjourney, StarryAI, se non diversamente specificato.