WordPress 4.8.3, una versión de seguridad con seis semanas en preparación
Traducido del artículo: “WordPress 4.8.3, A Security Release Six Weeks in the Making” de:
Jeff Chandler, noviembre 1 de 2017
WordPress 4.8.3 está disponible y es una versión de seguridad para 4.8.2 y todas las versiones anteriores. Esta versión resuelve un problema con $ wpdb-> prepare () que podría conducir a una potencial “salida” de SQL. Si bien el núcleo de WordPress no es vulnerable, se ha agregado el fortalecimiento para evitar que los complementos y los temas generen inadvertidamente una vulnerabilidad.
Si experimenta un poco de déjà vu, es porque WordPress 4.8.2 intentó resolver el mismo problema. Según Anthony Ferrara, quien informó y divulgó la vulnerabilidad, el parche en 4.8.2 no resolvió el problema subyacente y ocasionó “roturas” en muchos sitios.
Ferrara dice que informó el problema inmediatamente después de que se lanzó 4.8.2 y el equipo de seguridad de WordPress lo ignoró durante varias semanas.
“Cuando llamé la atención del equipo, querían arreglar un subconjunto del problema que reporté”, dijo. “Se me hizo claro que liberar una corrección parcial era peor que no corregirlo (por muchas razones). Así que decidí que la única forma de hacer que el equipo se diera cuenta de todo era el tema de la Divulgación Completa “.
La divulgación completa es el proceso de compartir públicamente los detalles técnicos de una vulnerabilidad para que el público conozca la misma cantidad de información que los piratas informáticos. La amenaza de la revelación completa generalmente se usa para presionar a las empresas y creadores de software para que actúen con rapidez y publiquen parches lo antes posible.
El 26 de octubre, Ferrara usó su cuenta de Twitter para notificar al público que WordPress contenía una seria vulnerabilidad SQLi y que debido a que carecía de confianza en el equipo, revelarlo completamente era su única opción. Su mensaje fue retuiteado 562 veces y presionaron “Me Gusta” 484 personas.
La cantidad de publicidad que recibió su Tweet tuvo un impacto ya que el 27 de octubre, Ferrara informó que las discusiones constructivas se reanudaron con el equipo y que retrasaría la divulgación hasta el 31 de octubre.
El 27 de octubre, Ferrara habló con un miembro del equipo de seguridad de WordPress que brindó una nueva mirada al problema: “Un miembro del equipo de seguridad que aún no había participado en el hilo volvió al principio del hilo y volvió a leer cada publicación “, dijo.
“Él (correctamente puedo agregar) resumió la totalidad de los problemas, así como algunas preguntas aclaratorias. También pidió un poco más de tiempo, pero me dio un objetivo para el martes 31 de octubre, por lo que no estaba abierto. Esta fue la respuesta que estaba buscando todo el tiempo”.
Ambas partes colaboraron en un parche que solucionó el problema y se lanzó WordPress 4.8.3. Aunque su experiencia comenzó siendo frustrante, Ferrara tiene la esperanza de que el equipo lo haga mejor con informes futuros.
“Entiendo que hay prioridades en competencia”, dijo. “Pero muestra atención. Demuestra que has leído lo que está escrito. Y si alguien te dice que parece que no entiendes algo, detente y obtén una aclaración. Y pide ayuda En general, espero que el equipo de seguridad de WP avance en esto. Honestamente, tengo esperanza “.
Aaron Campbell, líder del equipo de seguridad de WordPress, dice que aunque hubo algunos parches en el trabajo con Ferrara, pudieron trabajar juntos para obtener una solución liberada al final. Si bien la amenaza de divulgación total no tuvo un gran impacto en la corrección de la vulnerabilidad, puede haber sido el catalizador para involucrar a una nueva persona en el proceso.
“Una amenaza de divulgación ciertamente agrega presión y posiblemente estrés, pero en realidad no cambia mucho la ecuación general”, dijo Campbell. “Un problema no es más grave porque se revelará, pero puede ser más apresurado (lo que significa una mayor probabilidad de errores).
En este caso, realmente creo que la amenaza de divulgación terminó coincidiendo con una de las personas de nuestro equipo de seguridad que se unió para ayudar. La nueva persona fue mucho mejor en la comunicación con Anthony, y realmente cambió las cosas “.
En el lanzamiento oficial, el equipo de seguridad de WordPress agradeció a Ferrara por practicar la divulgación responsable. Esto generó cierta conversación en Twitter sobre si la revelación responsable debería renombrarse como divulgación coordinada.
“No estoy seguro de saber qué cambiaría la terminología”, dijo Campbell. “Veo que algunos lugares usan esta redacción en particular, pero sinceramente no veo cómo transmite algo que no se haya entendido en general con divulgación responsable”.
Se recomienda a los usuarios actualizar sus sitios a 4.8.3 lo antes posible. Dado que esta versión cambia el comportamiento de esc_sql (), se recomienda encarecidamente a los desarrolladores que lean esta nota de desarrollo en el sitio Make WordPress Core.
Quién es Jeff Chandler
Jeff Chandler es un joven de WordPress forma parte del equipo deportivo estatal. Escritor colaborador de WPTavern. Ha escrito acerca de WordPress desde 2007. Anfitrión del Podcast semanal WordPress.