WordPress 2.8.3 Уязвимость в пароле

Новости нашего блога Новости сети, мира Памятки и заметки

Уязвимость в функции восстановления пароля, может дать возможность любому заблокировать учетную запись администратора.

После выхода нового обновления безопасности WordPress 2.8.3 появилась опасная уязвимость, которая позволяет заблокировать учетную запись администратора в их же в блоге. Использование онлайн функцию сброса пароля, злоумышленники могут удаленно сбросить пароль администратора.

Об этом баге впервые сообщил Лоран Джеффи (Laurent Gaffie) добавивший информацию об этом 11 августа в список для Grok. Разработчики WordPress уже сообщили, что решение этой проблемы было включено в разработку следующей версии WordPress.

В стандартной ситуации, с точки зрения пользователя, восстанавливая свой пароль, они в первую очередь используют функцию «Восстановить пароль» используя имеющуюся ссылку ссылку. Пользователь получает по электронной почте на зарегистрированный аккаунт, сообщение, содержащее ссылку проверки, при нажатии на которую происходит удаление старого пароля и заменяет его на новый. Этот новый пароль будет вновь отправлен на почту. И в последствии вход в свой аккаунт совершается уже с использованием нового пароля.

Этот же сценарий мпозволяет сбросить и пароль администратора. Достаточно знать лишь почту администратора. Все эти действия можно сделать из простого окна браузера.

Эта уязвимость может быть использована только для сброса пароля администратора, но не более того.

Уже сейчас эту досадную и не очень приятную ошибку разработчиков можно исправить. Нужно зайти по FTP в папку где размещен ваш блог. Найти в корне фаил WP-login.php…

Найти в нем:
if ( empty( $key ) )

Заменить на:
if ( empty( $key ) || is_array( $key ) )

Для владельцев, которые уже были заблокированы, WordPress рекомендуется повторно пройти процедуру восстановления пароля. И по возможности сменить в профиле почту для восстановления пароля.

Дополнительные инструкции можно найти на официальном сайте WordPress на странице «Сброс пароля«.

Первоисточник: http://news.softpedia.com
Перевод для: http://bubblebublim.ru

2 минуты на чтение (1) комментарий

Акция: ЛОХпакеты со скидками !

Дизайн, юзабилити, CMS Истории и случаи Новости сети, мира Памятки и заметки Поддержка сайта

ЛОХпакеты

Для интересующихся готовы следующие ЛОХпакеты:

— увеличение члена за 2 минуты (уникальная методика).
— как стать миллионером за сутки (цена полтора миллиона)
— создай свой стартап, или делаем крутой сайт сами. (joomla прилагается).
— как стать крутым соблазнителем (лубрикант и журнал пентхаус в комплекте).
— учимся плавать без бассейна.
— экстримальное вождение автомобиля не выходя из дома.

По всем вопросам и заявкам стучим в личку.
Постоянным и оптовым клиентам -скидка в 40%
Предложение действительно только до 25 мая. Спешите!

*кликабельно

41 секунда на чтение 8 комментариев

C днем студента

Новости сети, мира

Все студентов, как бывших, учащихся еще в стенах родных альмаматер так и будущих, поздравляю с днем студента. Желаю чтобы все кто учится доучились, а те кто только собирается, всее же стали студентами.

Привет всем:
» Egoholic пишет про проблемы проектов.
» Грех всегда бы и остается с нами и продолжает собирать дань.
» Татьяна поздравляет всех с днем студента. А мы ее маму с днем рождения.
» Соник пишет нам что то уморное и про аську.
» Максим все не может успокоиться с дизайном блога.
» Роман, снова пишет интересные статьи по стилю.
» Павел, поделился секоетом того, что он юзает.
» G&Z тоже пишет о проблемах аськи…
» Нубик пишет про какую-то тему.
» Букашечка выложила карикатуру на Барака обаму.
» Ну а я как обычно пишу всякую ересь ))

1 минута на чтение 4 комментария

С наступившим вас 2009м

Новости сети, мира

Друзья мои, я поздравляю вас с наступивщим Новым годом! Я желаю вам оставить в ушедшем году максимальное количество проблем и вынести из него столько хорошего, сколько только может поместиться в руках одного человека. А ещё, давайте пожелаем друг другу помнить о том, что вместе, сообща, мы можем вынести гораздо больше, чем каждый из нас в отдельности.

С Новым годом, друзья!

Искренне Ваш, Mons

32 секунды на чтение 5 комментариев

Прямая трансляция LHC с камер CERN

Новости сети, мира

Нашел способ разместить потоковое видео прямой трансляции на то, что сейчас происходит с LHC (Большой адронный коллайдер). Поток идет напрямую с камер CERN. Так что можно даже стать свидетелем каких нибудь новых открытий или на миг представить, что вы смотрите новые серии «за стеклом» .

В плоть до самого конца света (ну или до окончания эксперимента) справа в блоке будет висеть прямая ссылка на камеры трансляции.

Читать далее »

56 секунд на чтение 9 комментариев

Запуск Адронного Коллайдера

Новости сети, мира

Большой адронный коллайдер

Большой адронный коллайдер — самый большой на планете ускоритель элементарных частиц — был построен под руководством CERN на границе Швейцарии и Франции. Именно сегодня должен официально начать свою работу. Посмотрим что из этой идеи выйдет.

18 секунд на чтение 20 комментариев

Контакт ICQ 12111

Блогосфера, блоги, SMO Новости сети, мира

По рунету среди пользователей компании ICQ/AOL прокатилась волна паники, из за слухов и неизвестности ходящих вокруг контакта 12111, который сам добавляется в icq клиенты, в группу Generals, а при ее отсутсвии создает ее. Пошли слухи, о том , что это якобы злобный троян ворующий пароли и тп. Все это полный бред. Что это такое на самом деле 12111 я разьясню чуть ниже. По поводу кражи паролей, их не было. Была смена паролей, новые своевременно высылались при восстановлении (нправда минут 15 были некоторые сложности с коннектом из-за перегруза серверов AOL). Скорее всего это связанно с некоторыми техническими проблемами при вводе нового сервиса, а это именно новый сервис ICQ/AOL и ничего более.

Читать далее »

1 минута на чтение 16 комментариев

С днем рождения, Pentium!

Новости сети, мира

15 лет назад, 22 марта 1993 года, корпорация Intel представила новый процессор Pentium 60MHz, с которого началась новая эпоха в области десктопных процессоров. С него же началась гонка мегагерц и нанометров. Первый Pentium был построен по 800нм технологии.

66, 75, 90, 100, 120, 133, 150, 166, 200, 233, 266 и 300.
Помните этот числовой ряд? =)
Потом добавились три заветных буквы MMX и понеслось.

Поздравляю Pentium !

33 секунды на чтение Комментарии к записи С днем рождения, Pentium! отключены

Изменения в авторском праве

Блогосфера, блоги, SMO Новости сети, мира

Новая четвертая часть ГК РФ, насчитывающая 400 страниц, готовилась не один год. Внесенный в Госдуму в июле 2006 года вариант этого документа был уже четвертой разработкой. Законопроект прошел международную экспертизу и был изучен специалистами из Германии, Австрии, Канады и США. В целом специалисты оценивают его положительно. Документ упорядочит законодательство в интеллектуальной сфере и приведет его в соответствие с международными нормами.

Необходимость скорейшего принятия этой части ГК была во многом обусловлена стремлением России вступить в ВТО. Одним из условий этого вступления является подписание Соглашения по торговым аспектам прав интеллектуальной собственности (ТРИПС), которое, в свою очередь, не должно противоречить национальному законодательству страны.
Читать далее »

8 минут на чтение Комментарии к записи Изменения в авторском праве отключены

Все права на материалы, находящиеся на сайте, охраняются в соответствии с законодательством об авторском праве и смежных правах и принадлежат их законным авторам. Материалы сайта запрещено использовать без получения разрешения от владельцев данного сайта или авторов материалов, только если не указано иное самим автором материала. При частичном цитировании материалов этого сайта, обязательна активная ссылка на "blog.mons.ws".