בוורדפרס. הפעם מדובר בבקשת HTTP שעשויה לשמש לחשיפת מידע מוורדפרס. כל הגרסאות, כולל 2.0.5 המעוברתת, ו-2.0.6 הלא, חשופות.
ניתן להוריד את הקובץ החשוף בגרסה מתוקנת ל-2.0.5 בלבד כאן, או לתקן לבד עפ“י זה.
גם בלוגלי תוקן כמובן.
(דרך איל) צולם, לכאורה, במצלמת אבטחה של חניון באחת החברות בפארק המדע ברחובות.
היציאה מימין, כן?
מי שרוצה באיכות טובה יותר על מנת להוסיף לזה טרק אסיד התואם את החומר שהגברת כנראה מחזיקה תחת הלשון, מוזמן לפנות אלי.
(דרך דיג) על הרבה כאלה נכתב, אבל…
כמה מאוכזבים צריך להיות מדייט כדי להתאבד?
תהיו רגע רציניים, לא יפה לצחוק. באמת.
תחשבו על הבחורה. זה לא שדיווח על זה איזה עיתון פרינג‘ במדינה בת 6 מיליון תושבים. לא. דיווחה על זה סוכנות הידיעות הרשמית של מדינה עם למעלה ממיליארד ושלוש מאות מיליון תושבים, בה אין כל כך תקשורת בלתי רשמית… אם זה לא פסולת חיתון, אני לא יודע מה כן.
דוגמה מצוינת לזליגה ושימוש בטכנולוגיות צבאיות ומודיעיניות. מעניין מה היה מחיר השחרור של הטכנולוגיה, ומה המערכות הצבאיות\מודיעיניות מסוגלות לעשות כיום, בהינתן שטכנולוגיה זו, ברמתה הנוכחית, שוחררה.
למי שלא מכיר את BBN, הרבה מהטכנולוגיה בה את משתמשים ברגע זה ממש, לקבלת הפוסט הזה, כולל מיתוג מנות (הבסיס ל-IP), דוא“ל, ולמעשה - ארבעת המחשבים הראשונים שהיו לאינטרנט של היום, מעשה BBN.
ולמען הסר ספק לקשר - מתוך אתר BBN:
We help protect national security interests by performing leading edge R&D for U.S. government customers such as DARPA, NSA, DISA, and the service laboratories.
אתמול אלעד הפנה אותי לפוסט בנדון.
הבעיה מסווגת כסיכון גבוה וקיימת בכל גרסאות וורדפרס, כולל 2.0.5.
הבעיה תוקנה מידית בבלוגלי ובבלוג שלי, ללא כל תופעות לוואי.
להבדיל משרית החרוצה, איני ממליץ לקחת קובץ מתוקן מוורדפרס:
קיצר, גבו את הקובץ wp-admin/templates.php שלכם, ותקנו לפי זה:
עדכון: לא לעשות לכם חיים קשים - אם אתם משתמשים בוורדפרס בעברית 2.0.5 (ואם לא תתעדכנו) של רן, קובץ מתוקן נמצא כאן לנוחיותכם.
בשנים האחרונות אני עובד על מספר מחשבים ביום יום - יש את הלפטופ של העבודה, יש את הלפטופים בפינת האוכל, יש את ”המחשב“ (שהיום הוא כבר לא כזה ”ה“, אבל הוא עדיין המחשב המרכזי עליו יושב הסטוראג‘ ועליו אני לרוב עובד, כמו ממש עכשיו), יש מחשב הדמו (שהוא לא שלי, ויותר חזק מ-“ה“) שעליו אני מריץ סביבות בדיקה, ויש את הראוטר שלי, שהוא בעצם פ3 עם קצת זכרון וקצת דיסק שמריץ סביבת LAMP מלאה שאני עושה בה בדיקות במקביל לסביבות לינוקס ווירטואליות או סביבות כאלו על מחשב הדמו.
לא היה לי ספייוור, ווירוס שהצליח להדביק, טרוג‘ן, תולעת - כלום, לא היה לי אינצידנט טפו טפו טפו חמסה חמסה חמסה כבר כמה שנים טובות.
איך אני שומר על עצמי מכאלה דברים?
ההגנה שלי כוללת: שיקול דעת. מערכות הפעלה עדכניות. אנטיוירוס (הסוג תלוי במחשב, בסופו של יום, כולם אותו הדבר). פיירוול של מיקרוסופט על ה-XP, זה שבא עם מערכת ההפעלה. iptables על הלינוקסים, וכן ids.
זהו, בלי זונהלרם. בלי מקקאפה. בלי עוד ועוד ועוד תוכנות שמגנות וחוסמות ומטרידות ומאטות לי את המחשב.
יסלח היו“ר, אני פשוט לא עושה שטויות. לא מפעיל מה שלא צריך, לא פותח מה שלא צריך, בקיצור, שוב - שיקול דעת.
ובכל זאת, אני יודע שלרוב כן ”קורים דברים“ (איך הולך הזה.. נו.. תאונות לא קורות הן… כולם ביחד…) לאחרים. טלפונים מחברים, מכרים, דפיקה בדלת משכנים ושכנות (פעם זה היה סוכר.. היום רק ווירוסים), מישפוחה, לכולם קורה.
אז אני רוצה להמליץ על תוכנה. מודה ומתוודה, לא התקנתי, לא ניסיתי, אבל כן קראתי עליה קצת - בקיצור, במקום להוריד ווארזים (עוד מקור נפלא לשרצים) של פריצות לזונאלרם פרו, תורידו את הפיירוול של קומודו. חינם לגמרי. מומלץ על פני אלו שעולים כסף, ולא רק בגלל שהוא חינם.
אז איפה הקאטצ‘? אין למיטב ידיעתי. קומודו מוכרת מפתחות ssl, זה הביזנס שלה. הם אומרים שאת הפיירוול הם נותנים חינם כי כשאנחנו המשתמשים מרגישים מאובטחים, אנו רוכשים יותר באינטרנט. כשאנו רוכשים יותר באינטרנט, נפתחות יותר חנויות. נפתחות יותר חנויות, קומודו מוכרים יותר מפתחות. אולי נשמע קצת הזוי, אבל החברה הזו היא מספר 2 בעולם כסרטיפיקייט אוטוריטי - לא חברה שעושים שטויות. סביר להניח שבמחצית הקניות שלכם באינטרנט אתם כבר סומכים עליהם שהאתר באמת מאובטח.
בהצלחה.
עדכון: כפי ששרית ציינה, לא מורידים תוכנה שאין עליה המלצות - להלן ההמלצות שגרמו לי בחלקן להמליץ לכם על התוכנה:
מתוך תגובה בדיג -
סוני - מבטיחים יותר, מספקים מתחת למובטח
מיקרוסופט - מספקים כמובטח (מדובר על משחקים, לא על מערכות הפעלה, כן?)
נינטנדו - מבטיחים פחות, מספקים מעל למובטח
אלו פוסטים מהארכיון של הבלוג :: מיומניו של לקוח :: מהחודש ינואר, 2007.
