Foi descoberto um grave erro no arquivo wp-trackback.php
que permite derrubar nosso servidor em menos de 5 minutos e pode deixar o WordPress consumindo recursos do servidor indefinidamente.
Para descobrir como corrigir tal erro e ler mais informações a respeito, clique aqui.
Esperamos que tal erro seja prontamente corrigido na versão 2.9. Até o presente momento, a versão beta disponibilizada para os wp-testers (Beta Testers do WP, no qual me incluo) não possui tal correção.
Update: o Site BrPoint mostra outra forma de evitar tal problema. Para tal basta incluir a função abaixo no functions.php
function ft_stop_trackback_dos_attacks(){
global $pagenow;
if ( ‘wp-trackback.php’ == $pagenow ){
// DoS attack fix.
if ( isset($_POST[‘charset’]) ){
$charset = $_POST[‘charset’];
if ( strlen($charset)> 50 ) { die; }
}
}
}
add_action(‘init’,’ft_stop_trackback_dos_attacks’);
Já cadastrou o ticket de erro lá no site do WordPress? Eles só vão corrigir se souberem que o erro existe.
:)
Ainda não, mas não esqueci não, já anotei o que ocorre e vou registrar por lá (isso se alguém já não o tiver feito)..
Abraços !
Já tem ticket aberto e a solução vai entrar na versão 2.8.5.
Abraço
Se eu mudar essa linha no wp-trackback.php:
52. if ($charset)
53. //$charset = strtoupper( trim($charset) );
Para essa:
52. if ($charset)
53. $charset = str_replace( array(‘,’, ‘ ‘), ”, strtoupper( trim($charset) ) );
Já resolve?
Peguei isso no changeset (http://core.trac.wordpress.org/changeset/12057)
Abraço!
Oi Guilherme,
Ao que tudo indica, esta foi a solução mais simples encontrada pela equipe de desenvolvedores do WordPress. Provavelmente dentro das 24hrs será liberada a versão 2.8.5 para corrigir este erro e mais alguns outros bugs menores..
Abraços
UPDATE: Vulnerabilidade já resolvida no WP 2.8.5 !