Commentaires sur : WordPress Ressource Exhaustion Exploit dans toutes les versions de WordPress http://www.john-jean.com/blog/securite-informatique/wordpress-exhaustion-exploit-dans-toutes-les-versions-de-wordpress-254 Actualité de sécurité informatique Fri, 09 Jul 2010 13:02:42 +0000 hourly 1 http://wordpress.org/?v=3.0 Par : John JEAN http://www.john-jean.com/blog/securite-informatique/wordpress-exhaustion-exploit-dans-toutes-les-versions-de-wordpress-254/comment-page-1#comment-3917 John JEAN Fri, 23 Oct 2009 16:00:37 +0000 http://www.john-jean.com/blog/divers/wordpress-exhaustion-exploit-dans-toutes-les-versions-de-wordpress-254#comment-3917 Hello, La réponse est pourtant toute simple: Les petits malins ont tous seclist dans leurs RSS. Les petits malins ont connu la "faille" et le code permettant de l'exploiter à 14h30 (heure française), ce jour là. Sauf que sur full-disclosure il n'y a que la faille et rien d'autre. Moi quand je propose le script c'est avant tout pour l'expliquer et pour proposer le correctif qui est dans le billet, les petits malins n'ont pas besoin de moi pour trouver le sourcecode permettant l'exploit. Par contre les webmasters ont besoin de comprendre la faille lorsqu'on leur demande de modifier quelques lignes au sein de leurs scripts, sinon ils se demandent ce que vont faire de telle modifications s'ils ne les comprennent pas, surtout dans un cadre ou l'on se situe avant que le patch officiel ne soit disponible. La faille n'aurait pas du être postée sur full-disclosure tant que le correctif officiel n'était pas proposé. Hello,

La réponse est pourtant toute simple:
Les petits malins ont tous seclist dans leurs RSS. Les petits malins ont connu la « faille » et le code permettant de l’exploiter à 14h30 (heure française), ce jour là.
Sauf que sur full-disclosure il n’y a que la faille et rien d’autre. Moi quand je propose le script c’est avant tout pour l’expliquer et pour proposer le correctif qui est dans le billet, les petits malins n’ont pas besoin de moi pour trouver le sourcecode permettant l’exploit.
Par contre les webmasters ont besoin de comprendre la faille lorsqu’on leur demande de modifier quelques lignes au sein de leurs scripts, sinon ils se demandent ce que vont faire de telle modifications s’ils ne les comprennent pas, surtout dans un cadre ou l’on se situe avant que le patch officiel ne soit disponible.

La faille n’aurait pas du être postée sur full-disclosure tant que le correctif officiel n’était pas proposé.

]]> Par : Martin http://www.john-jean.com/blog/securite-informatique/wordpress-exhaustion-exploit-dans-toutes-les-versions-de-wordpress-254/comment-page-1#comment-3916 Martin Fri, 23 Oct 2009 15:30:11 +0000 http://www.john-jean.com/blog/divers/wordpress-exhaustion-exploit-dans-toutes-les-versions-de-wordpress-254#comment-3916 J'avoue ne pas bien comprendre l'intérêt de publier un code exploitant une faille, d'autant plus d'un logiciel populaire, avant que ne soit disponible la correction, ceci afin d'éviter que des petits malins qui n'y connaissent rien usent et abusent du système. J’avoue ne pas bien comprendre l’intérêt de publier un code exploitant une faille, d’autant plus d’un logiciel populaire, avant que ne soit disponible la correction, ceci afin d’éviter que des petits malins qui n’y connaissent rien usent et abusent du système.

]]> Par : Gros http://www.john-jean.com/blog/securite-informatique/wordpress-exhaustion-exploit-dans-toutes-les-versions-de-wordpress-254/comment-page-1#comment-3910 Gros Wed, 21 Oct 2009 08:52:46 +0000 http://www.john-jean.com/blog/divers/wordpress-exhaustion-exploit-dans-toutes-les-versions-de-wordpress-254#comment-3910 Vu. Ça sent le code fait à l'arrache ;) ++ Vu. Ça sent le code fait à l’arrache ;)
++

]]> Par : John JEAN http://www.john-jean.com/blog/securite-informatique/wordpress-exhaustion-exploit-dans-toutes-les-versions-de-wordpress-254/comment-page-1#comment-3909 John JEAN Wed, 21 Oct 2009 08:22:08 +0000 http://www.john-jean.com/blog/divers/wordpress-exhaustion-exploit-dans-toutes-les-versions-de-wordpress-254#comment-3909 Hello, C'est le diff quasi officiel de Wordpress, étonnant non ? :) <code>john@john-laptop:~/Bureau$ diff -urN wordpress-2.8.4/ wordpress-2.8.5/ > diff.diff diff -urN wordpress-2.8.4/wp-trackback.php wordpress-2.8.5/wp-trackback.php --- wordpress-2.8.4/wp-trackback.php 2008-05-25 17:50:15.000000000 +0200 +++ wordpress-2.8.5/wp-trackback.php 2009-10-19 17:10:59.000000000 +0200 @@ -50,7 +50,7 @@ $blog_name = stripslashes($_POST['blog_name']);</code> <code> if ($charset) - $charset = strtoupper( trim($charset) ); + $charset = str_replace( array(',', ' '), '', strtoupper( trim($charset) ) ); else $charset = 'ASCII, UTF-8, ISO-8859-1, JIS, EUC-JP, SJIS'; </code> Par ailleurs, soit je cherche mal, soit Wordpress communique assez mal dessus, mais je n'ai pas trouvé le diff officiel entre les deux versions, alors je vous sors le mien. Il est disponible ici: <a href="http://www.john-jean.com/blog/diffw84w85.diff" rel="nofollow">diff Wordpress-2.8.4 Wordpress 2.8.5</a> Hello,

C’est le diff quasi officiel de WordPress, étonnant non ? :)

john@john-laptop:~/Bureau$ diff -urN wordpress-2.8.4/ wordpress-2.8.5/ > diff.diff
diff -urN wordpress-2.8.4/wp-trackback.php wordpress-2.8.5/wp-trackback.php
--- wordpress-2.8.4/wp-trackback.php 2008-05-25 17:50:15.000000000 +0200
+++ wordpress-2.8.5/wp-trackback.php 2009-10-19 17:10:59.000000000 +0200
@@ -50,7 +50,7 @@
$blog_name = stripslashes($_POST['blog_name']);

if ($charset)
- $charset = strtoupper( trim($charset) );
+ $charset = str_replace( array(',', ' '), '', strtoupper( trim($charset) ) );
else
$charset = 'ASCII, UTF-8, ISO-8859-1, JIS, EUC-JP, SJIS';

Par ailleurs, soit je cherche mal, soit WordPress communique assez mal dessus, mais je n’ai pas trouvé le diff officiel entre les deux versions, alors je vous sors le mien.
Il est disponible ici: diff WordPress-2.8.4 WordPress 2.8.5

]]> Par : Gros http://www.john-jean.com/blog/securite-informatique/wordpress-exhaustion-exploit-dans-toutes-les-versions-de-wordpress-254/comment-page-1#comment-3908 Gros Wed, 21 Oct 2009 07:42:31 +0000 http://www.john-jean.com/blog/divers/wordpress-exhaustion-exploit-dans-toutes-les-versions-de-wordpress-254#comment-3908 Escuses moi. J'ai fait une erreur: if ( ($charset) && strtoupper( trim($charset))=== get_option('blog_charset'); $charset = strtoupper( trim($charset)); //$charset = get_option('blog_charset'); else $charset = ‘ASCII, UTF-8, ISO-8859-1, JIS, EUC-JP, SJIS’; Comme ça, on sera plus dans la tradition ;) Escuses moi. J’ai fait une erreur:

if ( ($charset) && strtoupper( trim($charset))=== get_option(‘blog_charset’);
$charset = strtoupper( trim($charset)); //$charset = get_option(‘blog_charset’);
else
$charset = ‘ASCII, UTF-8, ISO-8859-1, JIS, EUC-JP, SJIS’;

Comme ça, on sera plus dans la tradition ;)

]]> Par : Planrencontre http://www.john-jean.com/blog/securite-informatique/wordpress-exhaustion-exploit-dans-toutes-les-versions-de-wordpress-254/comment-page-1#comment-3907 Planrencontre Wed, 21 Oct 2009 07:19:09 +0000 http://www.john-jean.com/blog/divers/wordpress-exhaustion-exploit-dans-toutes-les-versions-de-wordpress-254#comment-3907 Toujours plus simple : WP 2.8.5 vient de sortir avec au menu "A fix for the Trackback Denial-of-Service attack that is currently being seen." Et ben voila qui tombe bien ;-) Toujours plus simple : WP 2.8.5 vient de sortir avec au menu « A fix for the Trackback Denial-of-Service attack that is currently being seen. »

Et ben voila qui tombe bien ;-)

]]> Par : Gros http://www.john-jean.com/blog/securite-informatique/wordpress-exhaustion-exploit-dans-toutes-les-versions-de-wordpress-254/comment-page-1#comment-3906 Gros Wed, 21 Oct 2009 06:43:34 +0000 http://www.john-jean.com/blog/divers/wordpress-exhaustion-exploit-dans-toutes-les-versions-de-wordpress-254#comment-3906 A noter que le code originel de wp, permettrait en cas $charset pas present, de mettre le mb_encoding en auto soit ‘ASCII, UTF-8, ISO-8859-1, JIS, EUC-JP, SJIS’; Cordialement. ;) A noter que le code originel de wp, permettrait en cas $charset pas present, de mettre le mb_encoding en auto soit ‘ASCII, UTF-8, ISO-8859-1, JIS, EUC-JP, SJIS’;

Cordialement. ;)

]]> Par : Gros http://www.john-jean.com/blog/securite-informatique/wordpress-exhaustion-exploit-dans-toutes-les-versions-de-wordpress-254/comment-page-1#comment-3905 Gros Wed, 21 Oct 2009 06:39:04 +0000 http://www.john-jean.com/blog/divers/wordpress-exhaustion-exploit-dans-toutes-les-versions-de-wordpress-254#comment-3905 Salut en regardant le CS de wp, j'ai vu ça: if ($charset) $charset = strtoupper( trim($charset) ); else $charset = 'ASCII, UTF-8, ISO-8859-1, JIS, EUC-JP, SJIS'; en ligne 52... T'en penserais quoi de le remplacer par: if ( ($charset) && strtoupper( trim($charset))=== bloginfo('charset') ) $charset = strtoupper( trim($charset)); else $charset = 'ASCII, UTF-8, ISO-8859-1, JIS, EUC-JP, SJIS'; Le code est net et on resterai dans la "tradition wordpress", non? Cordialement. Gros Salut
en regardant le CS de wp, j’ai vu ça:

if ($charset)
$charset = strtoupper( trim($charset) );
else
$charset = ‘ASCII, UTF-8, ISO-8859-1, JIS, EUC-JP, SJIS’;

en ligne 52…

T’en penserais quoi de le remplacer par:

if ( ($charset) && strtoupper( trim($charset))=== bloginfo(‘charset’) )
$charset = strtoupper( trim($charset));
else
$charset = ‘ASCII, UTF-8, ISO-8859-1, JIS, EUC-JP, SJIS’;

Le code est net et on resterai dans la « tradition wordpress », non?

Cordialement.
Gros

]]> Par : Fefaine http://www.john-jean.com/blog/securite-informatique/wordpress-exhaustion-exploit-dans-toutes-les-versions-de-wordpress-254/comment-page-1#comment-3901 Fefaine Tue, 20 Oct 2009 21:44:58 +0000 http://www.john-jean.com/blog/divers/wordpress-exhaustion-exploit-dans-toutes-les-versions-de-wordpress-254#comment-3901 Merci John Jean ! Merci John Jean !

]]> Par : John JEAN http://www.john-jean.com/blog/securite-informatique/wordpress-exhaustion-exploit-dans-toutes-les-versions-de-wordpress-254/comment-page-1#comment-3900 John JEAN Tue, 20 Oct 2009 20:58:18 +0000 http://www.john-jean.com/blog/divers/wordpress-exhaustion-exploit-dans-toutes-les-versions-de-wordpress-254#comment-3900 <strong>@Doc:</strong> En réalité ce plugin ne fait qu'appliquer le patch de <a href="http://www.stevefortuna.com/new-0-day-wordpress-exploit/" target="_blank" rel="nofollow">Steve Fortuna</a> proposé pour cette faille: <code> if ( isset($_POST['charset']) ){ $charset = $_POST['charset']; if ( strlen($charset) > 50 ) { die; }</code> Ca laisse d'ailleurs la possibilité de caler 8,33 charset puisque l'on ne stoppe que si $charset > 50 caractères. Je préfère le patch original à celui-ci. @Doc: En réalité ce plugin ne fait qu’appliquer le patch de Steve Fortuna proposé pour cette faille:


if ( isset($_POST['charset']) ){
$charset = $_POST['charset'];
if ( strlen($charset) > 50 ) { die; }

Ca laisse d’ailleurs la possibilité de caler 8,33 charset puisque l’on ne stoppe que si $charset > 50 caractères. Je préfère le patch original à celui-ci.

]]>