Yzabel / July 6, 2005
Seen in many blogs and online sources in the past two days is this announcement regarding a critical flaw in the XML-RPC PHP function:
Many popular PHP-based blogging, wiki and content management programs can be exploited through a security hole in the way PHP programs handle XML commands. The flaw allows an attacker to compromise a web server, and is found in programs including PostNuke, WordPress, Drupal, Serendipity, phpAdsNew, phpWiki and phpMyFAQ, among others.
(Full article from Netcraft here)I must admit that before reading that, I had absolutely no idea of what XML-RPC was. However, as of today, Matthew Mullenweg (creator of WordPress) has released this statement in his blog:
To clarify for all the confused people WordPress is not affected by the recent XML-RPC problem that lots of other apps were. We use different, more secure libraries for XML-RPC. The problem was discovered by the same guy though, I imagine he was auditing our code and found totally unrelated, which we fixed in our recent release. Of course you wouldn’t guess that from the title, “PHP Blogging Apps Vulnerable to XML-RPC Exploits.” Let’s go down the list: PostNuke – content management; WordPress – blogging; Drupal – content/community management; Serendipity – blogging; phpAdsNew – ad serving; phpWiki – wiki (not blogging); phpMyFAQ – FAQ management. If it bleeds it leads, right? 😉
Best to upgrade to 1.5.1.3 anyway. After all, updates are meant to be used!
Comments
Silmy
Heu… je suis pas sure d’avoir tout compris. Tu pourrais eventuellement resumer grossierement le point en fr stp? Desolee, mon niveau d’anglais regresse a une vitesse phenomenale…
Yzabel
Pas de problème (j’avais posté en anglais car les liens étaient de toutes manières en anglais, en fait).Pour ce qui est du problème d’origine, il s’agit d’une faille de sécurité dans la manière dont ces programmes PHP utilisent le XML, en particulier par la fonction XML-RPC, entre autres utilisée pour les notifications RSS. (Je ne connais pas tous les détails, mais en gros c’est ça.)Quant au post de Matt Mullenweg, il dit en fait que cette faille n’affecte normalement pas les blogs WordPress car ils utilisent XML-RPC d’une façon plus sécurisée. En tous cas, la nouvelle version (1.5.1.3) n’a pas ce problème (d’anciennes versions l’avaient sans doute, par contre), donc pas trop de soucis à avoir apparemment si on fait tourner nos blogs WP avec ça.
Silmy
Merci. J’avais compris la fin en fait mais pas le debut. Je prends note de cette info.