(Por El Microsaurio) El sol del 25 asomó allá en WordPress dot org, pero con un anuncio: había una nueva versión, la 3.1.3, y se habían solucionado unas cuantas fallas de seguridad. Una de ellas fue informada por una joven especialista en seguridad informática que trabaja en una empresa del ramo, allá en Mar del Plata. La buena noticia: los de WordPress emparcharon varias fallas. La mala noticia: Verónica dice que la que ella descubrió está arreglada a medias. Por si el tema te afecta, arrimá una silla y traé el mate…

Primero el tema de la actualización: Mark Jaquith, desarrollador jefe allá en WordPress, publicó en la web oficial que el 25 de mayo quedaban a disposición de la comunidad de usuarios las versiones 3.1.3 (estable) y 3.2 (esa es una beta) y que se habían solucionado una cantidad de fallas de seguridad. Agradecía a los especialistas que habían informado los problemas. Entre ellos había personal de la propia WordPress Org, el Laboratorio Microsoft de investigación de vulnerabilidades, un especialista peruano (Alex, el de Buayacorp) y Verónica Valeros, de Argentina.
Al día siguiente, la empresa donde trabaja Verónica publicó una Security Advisory, donde se indica “…WordPress ha liberado la versión 3.1.3, que incluye una solución para el problema de redirección canónica pero no para el de código fuente (…) el equipo de seguridad de WordPress ha sido informado de que luego de publicar la versión 3.1.3 la vulnerabilidad era aún explotable…” (Ojo, la traducción es mía, el aviso se publicó en inglés)
Tres observaciones:
1) Frase textual de esa misma nota de seguridad: “…In version 3.1.3 (…) is still possible to find the User Name in the source code. Therefore, this version is still vulnerable.” Más claro, echale agua: “por lo tanto, esta versión todavía es vulnerable”. Se trata, abreviando brutalmente, de fallas de programación que permitirían que un atacante extraiga los pares “nombre de usuario-identificación de usuario” atacando un servidor que corra WordPress. Me parece que el que sí arreglaron es el bug 18015
2) ¿Quién es esa Verónica, que le señala metidas de pata a los desarrolladores, y omisiones al equipo de seguridad de WordPress? Verónica Valeros, ex becaria en el Instituto Balseiro (¿te suena…?), afincada en Mar del Plata y a punto de defender su tesis universitaria (tema: análisis de tráfico en aplicaciones web, para detectar anomalías de comportamiento), una de las fundadoras del hackspace MatesLab marplatense, actualmente pentester en el equipo de la empresa local de seguridad informática Talsoft.
3) Probablemente relacionado con la actitud del equipo de WP (solucionar una falla e ignorar otra): a las pocas horas de aparecida la nota de seguridad de Talsoft sobre el tema WordPress, el hacker chileno Zerial (el de SecurelessOrg) le comentó públicamente a Verónica otra forma de levantar datos de usuarios de WP, incluyendo un método para automatizarla. Termina con la ominosa “¿bug? ¿vulnerabilidad? ¿característica?” que me recuerda borrosamente algunas respuestas de integrantes de equipos de seguridad de Microsoft, cuando alguien les indica un tema ríspido y responden que no es una falla, que eso es “por diseño”.
Así es; seguiremos presos de las “características de diseño” del software, a menos que los desarrolladores se pongan las pilas (o los hackers se dediquen a avergonzarlos) De paso: ¿sabían que Sony ya ha sufrido el décimo hackeo a un website corporativo? Deben haberse puesto celosos por el “éxito” de Comodo…
Ah, por si alguno pregunta por la URL donde está la Nota de Seguridad de Talsoft/Verónica: no, muchachos; allí hay una PoC, y habiendo gúgle, ustedes recordarán que yo no linkeo innecesariamente. Los scriptkiddies, que laburen un poco; los especialistas, ya recibieron los datos…

Por Ricardog

Periodista científico especializado en tecnología. Médico en retiro efectivo.

2 comentarios en «Falla en WordPress: ¿solucionada? no, dice una experta argentina»
  1. Si, pero las fallas de seguridad por meses no me dieron problemas, ahora luego de actualizar la version he perdido horas y HORAS de tiempo tratando de entender donde esta el bloqueo que ahora tiene wordpress hacia subdominios o redirect!!!!…el iframe que antes lo leia, ahora NO. Es un desastre perder tanto tiempo por NADA.

  2. Ale, yo no puedo decir lo mismo. Tecnozona está sobre WordPress y las actualizaciones de estos últimos meses fueron casi transparentes. Quizá en el foro de soporte de WordPress (http://wordpress.org/support/) te puedan dar alguna indicación. Si algún lector de Tecnozona lee esto y tiene manera de ayudarte, seguro que se va a poner en comunicación con vos o con nosotros.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.