Consiglio a tutti, ed in particolare agli utilizzatori di WordPress, di consultare periodicamente Blogsecurity.net, sarà sicuramente una risorsa utile da includere nel vostro feed reader. Si tratta di un sito (in lingua inglese) aggiornato abbastanza frequentemente e dedicato alla sicurezza in Rete.
Voglio segnalare in particolare WP Directory Traversal Vulnerabilities, un articolo che mette in guardia i blogger da una vulnerabilità che affligge vecchie (ma non tanto) versioni di WP quando queste girano all'interno di server Web basati su Windows.
In pratica le Directory Traversal Vulnerabilities (DTV) sono delle vulnerabilità che danno agli utenti malintenzionati la possibilità di operare al di fuori della Web root di un servizio. Si tratta di un bug abbastanza pericoloso che diventa allarmante quando un servizio viene installato utilizzando parametri di default, in questo caso infatti l'attaccante sa esattamente dove mettere le mani.
Ad essere affetti da questa vulnerabilità sono in particolare i blog basati su WP 2.0.11 (l'ultimo rilascio della serie 2.0), al contrario sembra che le versioni 2.3.1. e 2.3.2 ne siano immuni.
Chi ha scelto di operare su piattaforme Linux può invece dormire sonni tranquilli (almeno per quanto riguarda il bug in questione), per quanto riguarda invece Windows il problema è da prendere in seria considerazione.
Alla base della vulnerabilità vi è un piccolo frammento di codice:
function validate_file(..)
if (false !== strpos($file, ‘./’))
I sistemi Windows supportano infatti il backslash (.); quindi anche se IIS è in grado di bloccare le richieste a file esterni alla Web root, questo controllo può essere ovviato utilizzando codici UNICODE invece di "".
Come anticipato, le ultime versioni di WP non risentono di questa falla di sicurezza, quindi un aggiornamento è vivamente consigliato.