FDS

Questo articolo non intende incoraggiare in alcun modo la pirateria informatica, l’uso di software “non genuino” privo di licenza o l’attuazione di quanto decritto se infrange in qualsiasi modo le leggi del proprio Stato.

Le tecniche riportate sono divulgate a puro scopo informativo e comunque valgono le indicazioni date nella sezione Disclaimer

———————

di Eduard Roccatello

Pochi giorni fa è stata scoperta una vulnerabilità molto seria nella piattaforma di blogging Wordpress.
La vulnerabilità è dovuta, oltre ad una mancanza nel codice, ad un problema legato al database in esecuzione per la persistenza dei dati: MySQL.

La vulnerabilità è dovuta ad una “feature” implementata da MySQL per velocizzare i confronti tra le stringhe e ad una soluzione utilizzata per inserire dati troppo estesi per la dimensione della colonna: il troncamento.

Nella configurazione di default viene solamente emesso un warning, che spesso viene ignorato dalle applicazioni che usano il database e quindi non indicano il possibile problema.

Utilizzando la configurazione è possibile convertire gli avvisi in errori impostando il SQL mode STRICT_ALL_TABLES, tuttavia questo renderà inutilizzabili quasi tutte le applicazioni web.

Ma vediamo la vulnerabilità …

Articolo completo da Roccatello;

Questo articolo è stato scritto 10 September 2008 alle 09:10 ed è stato stato catalogato in Hacking, Sicurezza e Warning, Wordpress e Blogging & SEO e SEM Info. Puoi seguire i commenti attraverso il feed RSS 2.0. Puoi lasciare un commento, oppure tracciarlo dal tuo sito.