Vulnerabilidade do Wordpress

-----BEGIN PGP SIGNED MESSAGE----- Prezados, O CAIS está repassando o alerta da Secunia, intitulado "WordPress Password Reset Weakness (SA36237)", que trata de uma vulnerabilidade no WordPress. WordPress é uma plataforma software livre de publicação de blogs muito popular. A vulnerabilidade está na forma como as versões vulneráveis do software implementam a função de reset de senha, parte do modulo PHP wp-login.php. Esta vulnerabilidade permite que a primeira conta sem uma chave no banco de dados (normalmente a conta do administrador do blog) tenha sua senha redefinida (reset) sem a necessidade de confirmação. O ataque é trivial e pode ser realizado remotamente, com o uso de um simples navegador Web. Não é possível obter controle sobre a conta atacada. Entretanto, a exploração desta vulnerabilidade resulta em um grande inconveniente para o administrador do blog, que perde acesso a sua própria conta. SISTEMAS AFETADOS . WordPress 2.8.3 stable e versões 2.x anteriores CORREÇÕES DISPONÍVEIS Recomenda-se a atualização para a versão stable mais recente, WordPress 2.8.4, disponível em: . Download WordPress http://wordpress.org/download/ Caso o administrador já tenha sido vítima do ataque e perdeu acesso a sua conta, é possível utilizar um script de emergência (Emergency Password Reset Script), disponível na raiz da instalação Wordress. Mais informações sobre este script e sobre como utilizá-lo na seção "Referências". REFERÊNCIAS . SA36237: WordPress Password Reset Weakness http://secunia.com/advisories/36237/ . WordPress Blog: WordPress 2.8.4: Security Release http://wordpress.org/development/2009/08/2-8-4-security-release/ . SANS ISC Handler's Diary 2009-08-11: Wordpress unauthenticated administrator password reset http://isc.sans.org/diary.html?storyid=6934 . WordPress Codex: Resetting Your Password http://codex.wordpress.org/Resetting_Your_Password Identificador CVE (http://cve.mitre.org): Não disponível O CAIS recomenda que os administradores mantenham seus sistemas e aplicativos sempre atualizados, de acordo com as últimas versões e correções oferecidas pelos fabricantes. Os Alertas do CAIS também são oferecidos no formato RSS/RDF: http://www.rnp.br/cais/alertas/rss.xml Atenciosamente, ################################################################ # CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS) # # Rede Nacional de Ensino e Pesquisa (RNP) # # # # cais@cais.rnp.br http://www.cais.rnp.br # # Tel. 019-37873300 Fax. 019-37873301 # # Chave PGP disponivel http://www.rnp.br/cais/cais-pgp.key # ################################################################ -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.2.6 (GNU/Linux) Comment: Made with pgp4pine 1.76 iQCVAwUBSoV9hekli63F4U8VAQFCmQQAj7lhbPuf7N3VWvimmDAmdajXFxOSdLZF Nzvnw1T4IT1cbD9xnaa+nQhoH00RyybfnZnjd6wcLXNISgjbcoVB0iTALRgeofgF kduRB50IzWFh8CdTPeW3nKpN9rsGh4Jic3Q+o9iSIx+m5eoWrEL3p6jMt2hOk64/ fiOP/RvckQM= =zK8j -----END PGP SIGNATURE-----