A cikket írta: DjZoNe | 2009. augusztus 12. szerda | 13 hozzászólás

Tegnap jelezték páran, hogy egy frissen megjelent biztonsági rést kihasználva bejutottak illetéktelenek a rendszerükbe. A hiba javítása európai idő szerint már tegnap hajnalban nyilvános volt, és a délelőtti órákban ezt a fórumunkon ismertettük is. Tehát, mindenkinek ajánlott 2.8.4-re frissítés, aki bármelyik 2.8-as verziót használja. A 2.7-es kiadási ág úgy tűnik nem érintett a hibában. A javítócsomagot... 

A cikket írta: DjZoNe | 2008. október 24. péntek | 31 hozzászólás

A mai napon bejelentettek egy alacsony, ám de mégis biztonsági kockázatot jelentő sebezhetőséget a Snoopy nevű RSS olvasó alrendszerben. Ennek pedig ma új verzió lett az eredménye. Mivel arra gondoltam, hogy így hajnal 5 körül úgy sincsen nagyon más dolgom, ezért a magyar telepítő csomagot is frissítettem ehhez a verzióhoz. Aki némiképpen lustának érzi magát, hogy telepítse a teljes frissítést azzal megosztom,... 

A cikket írta: DjZoNe | 2008. szeptember 9. kedd | 25 hozzászólás

A hétvégén olvastam az egyik internetes biztonággal foglalkozó oldalon, hogy Stefan Esser (a Suhosin nevű biztonsági patch atyja és kis millió PHP hiba felfedezője) ismét villant, és felhívta a WordPress fejlesztők figyelmét a PHP mt_rand() függvényével kapcsolatos gyengeségre. A megfelelő információk és a felhasználó név tudatában a lelkes hacker bárkinek leresetelheti a jelszavát. Maga a támadás a blogra... 

A cikket írta: DjZoNe | 2008. augusztus 25. hétfő | 4 hozzászólás

A múlt hét a WordPress biztonsága körül zajlott, ezért most szeretnék néhány biztonsági tippet, trükköt, és az ezeket segítő bővítményeket ismertetni veletek. Úgy tűnik ebből egy cikk sorozat lesz, bár nem így indult. De most nem szeretnék egyszerre sok információt átadni. Először egy-két biztonsági alap dolgot fogok firtatni. Majd a wp-admin könyvtár biztonságát érintő bővítményeket, és tippeket. A... 

A cikket írta: DjZoNe | 2008. augusztus 15. péntek | 3 hozzászólás

Tegnap jelentették be az arany póni (Pwnie) díj nyerteseit, ami nemzetközi biztonsági szakértők által adott, egy fajta hacker díj. Itt a “legnagyobb alázás” kategóriában kapott hacker oszkárt a WordPress, azért mert eddig több, mint 140 hibát találtak az alap alkalmazásban, a kapcsolódó bővítményekben, és a sablonokban. Igen, ez egy erősen negatív díj, úgy érzem Matt blogja, ezt nem fogja főoldalon... 

A cikket írta: DjZoNe | 2008. augusztus 8. péntek | 2 hozzászólás

Pár napja elérhető SVN-ről, a bátraknak a 2.6 első javító ágának béta verziója, amely a következő újításokat tartalmazza: Jelszó újraküldés felhasználókénti tiltása A lekérdező funkció, ezentúé vesszúvel elválasztott listát is elfogadnak a post_status paraméterre Még több automatikusan generált link fel lett készítve az SSL kompatibilitásra Atom feedet is lehet hírdetni az alapértelmezett sablonban Az... 

A cikket írta: DjZoNe | 2008. május 15. csütörtök | 6 hozzászólás

A WordPress 2.5.1-es kiadásának, az egyik jelenleg ismeretes, ám még ki nem javított hibája, az, hogy nem működik az új jelszó generálási funkció. Ennek a megoldásáig sajnos a 2.5.2-ig biztosan várni kell, de ismeretek két megoldást, amivel ezt a műveletet még is meg lehet oldalni.  Read More →

A cikket írta: DjZoNe | 2008. január 27. vasárnap | Nincs hozzászólás

Múlt hét hétfő jelentettek be egy súlyos hibát a WP-Forum plugin 1.7.4-es verziójában. amellyel SQL injection valósítható meg, és az adatbázisból kinyerhetőek az md5 hashek. Ami azért kritikus csak, mivel az md5 hash ismeretében admin jog szerezehtő a WordPress Cookie authentikációs methódusának ismeretében, amire az előző bejegyzésben is hivatkoztam. A megoldással kapcsolatban írtam egy rövid cikket, amit itt... 

A cikket írta: DjZoNe | 2007. december 13. csütörtök | 3 hozzászólás

Ma reggel érkezett a hír a különböző internetes biztonsággal foglalkozó oldalakon, hogy rést találtak a WordPress 2.3.1 kódjában, amit a támadó bizonyos karakter készletek használata esetén (big5, gbk) rosszindulatú kódot fecskenedzhet a lekérdezésekbe. Ez a hiba felhasználható arra, hogy az adatbázis nem nyilvános részeit megtekintse a rosszindulatú látogató, illetve kombinálva az egy hónapja talált cookie...