àˆ trapelata oggi la notizia di una falla di wordpress sulla falsariga di quella, piuttosto grave, segnalata di recente a proposito di Drupal (Nuovo update per Drupal risolve una falla grave di SQL injection); a quanto sembra, si tratta di un problema di SQL injection, di nuovo, a cui sarebbero soggetti tutti i blog in wordpress (“10 milioni di webserver”, secondo il sito) mediante il modulo dei commenti. La cosa, quindi, sembrerebbe riguardare un problema di parsing dell’input dei commenti e non riguarda, ovviamente, i blog in wordpress senza commenti abilitati o quelli che hanno utilizzato Disqus. Nel dubbio, si possono per precauzione disabilitare i commenti del proprio blog in WP mediante un plugin come Disable Comments, sia in modo temporaneo che – se la falla fosse grave, reale ed irrisolvibile in tempi brevi – definitivo.
I bollettini ufficiali che ho consultato finora riportano una falla di SQL injection che pero’ interessa solo le vecchie versioni di wordpress (0.7) – cvedetails e us-cert – e non pare ci sia traccia del problema, almeno per il momento. àˆ possibile che la falla sia stata scoperta e non svelata, o venga svelata solo a pagamento agli interessati.
La segnalazione, oltre ad essere vaga e senza dettagli – fino a prova contraria, non si può fare a meno di rimanere scettici – rischia di generare allarmismo ingiustificato negli utilizzatori di wordpress, senza contare che l’articolo riporta gravi inesattezze sul software open source: “potrebbe trattarsi di un colpo molto serio alla credibilità del software Open Source (sic)” – e poi riporta un non sequitur da manuale scrivendo “immaginate Android colpita da un worm massivo“. Tanto per intenderci, il software open source non comporta, di per sè, un rischio maggiore in fatto di sicurezza: semmai è vero il contrario, ovvero che quello closed sia meno sicuro e, anzi, in molti casi le vulnerabilità vengono addirittura nascoste, se non rivendute, per molto tempo. In effetti anche il sito in questione nella pagina di rimando va a vantarsi, per cosଠdire, di avere delle vulnerabilità zero-day che non ha ancora svelato, e che sono pronto a scommettere che svelerà a pagamento (ammesso che ce le abbia davvero). Certo è che quella che sembrava un trend diffuso da alcuni hacker francesi – Vupen, che vendono le falle informatiche che scoprono – a quanto pare altri hanno deciso di seguire la scia: speriamo che non sia davvero cosà¬.
Indizi che si tratta di una bufala: il nome della persona che firma il comunicato (“Janita“, senza cognome), l’inglese non corretto (“affects tens of millions of web servers“), la mancanza di dettagli su come replicare la falla (ma se hanno intenzione di rivendere l’informazione, c’è da aspettarselo), senza contare che il sito che riporta la notizia è stato – ironicamente, a questo punto – realizzato in Bolt, che (manco a dirlo) è un software free e open source diffuso su GitHub. Il sospetto di una manovra virale – dato che la notizia sarà replicata ad oltranza su vari siti senza verifiche, c’è da scommetterci – è a questo punto molto, molto forte. Staremo a vedere, al momento non è possibile saperne di più almeno fin quando qualcuno non pubblicherà una proof of concept.
Sul sito che ha riportato la notizia (che non linko perchè riporta semplicemente un indirizzo email a cui chiedere informazioni, e che ho contattato privatamente poco fa per capire qualcosa in più: ripeto, non voglio generare allarmismi gratuiti come molti faranno, sospetto una manovra di viral marketing per promuovere un blog CMS a pagamento) non sono indicate nè prove nè dettagli, nè tantomeno proof of concept: il sospetto che si tratti di una bufala è molto forte, in mancanza di altre informazioni in merito, perchè quel comunicato potrebbe averlo scritto chiunque, anche in modo volutamente generico e pretestuoso (per spillare soldi agli ingenui, per intenderci).
Non appena avrò altre informazioni aggiornerò il post di conseguenza.
Usa il codice
189ed7ca010140fc2065b06e3802bcd5
per ricevere 5 € dopo l'iscrizione
👇 Contenuti da non perdere 👇
- Domini Internet 🌍
- Gratis 🎉
- Scrivere 🖋
- Svago 🎈
- WordPress 🤵
- 💬 Il nostro canale Telegram: iscriviti
- 🔴 Client vs. server: cos’è e come funziona
- 🔵 HaLow: la nuova generazione di Wi-Fi per sfruttare internet ovunque
- 🔵 Errore ue su lavatrice LG (cestello sbilanciato)