[Owasp-turkey] [Fwd: [netsec] WordPress Kritik Guvenlik Acigi]

Ferruh Mavituna ferruh at mavituna.com
Thu May 24 04:49:57 EDT 2007


Biz de iki gun once test ettik, acik ilk yayinlandiginda. Gayet guzel bir
sekilde calistigini onayliyabilirim.

Ek olarak her daim WP kulanicilarinin admin kisimlarina en azindan ekstra
bir Basic Auth eklemesini oneriyorum. Ek olarak  patch i  uygulayana kadar
bu sekilde hizli ilk onlemi de almis olabilirsiniz.

On 24/05/07, Huzeyfe ONAL <huzeyfe at lifeoverip.net> wrote:
>
>
>
> ---------------------------- Original Message ----------------------------
> Subject: [netsec] WordPress Kritik Guvenlik Acigi
> From: "Huzeyfe ONAL" <huzeyfe at lifeoverip.net>
> Date: Thu, May 24, 2007 10:29 am
> To: netsec at huzeyfe.net
> --------------------------------------------------------------------------
>
>
>
> WordPress 2.1.3 kullanicilarinin
> dikkatine...
>
> Bir iki gundur bloguma gelen web isteklerindeki
> anormallikleri incelerken iki gun oncesine ait bir WP aciginin
> kullanildigini kesfettim.
>
> wp-admin/admin-ajax.php ve buna bagli olan
> scriptlerdeki eksik kontroller yuzunden blogunuzun /wp-admin kismina
> erisebilen kotu niyetli birisi sistemdeki wp kullanicilarina ait
> plain md5 ciktilarini alabilir(kendi sistemimde test ettim) ve
> otesinde bunu kullanarak sisteme admin yetkileri ile
> baglanilabiliyor(mus)-test etmedim.
>
> Cesitli undergorund
> sitelerde konu ile ilgili exploitler yayinlanmis durumda.
>
> Aciktan korunma icin WP tarafindan cikarilan guncellemeler (2.2)
> gecilebilir
>
> Detayli Bilgi :
> http://secunia.com/advisories/25345/
>
>
>
> --
> Huzeyfe ONAL
> huzeyfe at lifeoverIP.net
> http://www.lifeoverip.net
>
> Ag guvenligi listesine uye oldunuz
> mu?
> http://netsec.huzeyfe.net
>
>
> _______________________________________________
> Owasp-turkey mailing list
> Owasp-turkey at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>
>
>


-- 
Ferruh Mavituna
http://ferruh.mavituna.com
-------------- next part --------------
An HTML attachment was scrubbed...
URL: http://lists.owasp.org/pipermail/owasp-turkey/attachments/20070524/1dd88ca7/attachment.html 


More information about the Owasp-turkey mailing list