Hum... es antigua, pero el autor no avisó antes (me avisaron del bug por otro medio) para que se repare y se actualice (es el script de trackbacks: trackback.php).
Eso no se hace, al menos se avisa y se deja un tiempo mínimo razonable para que los otros actualicen. O mejor aún, se envía un parche.
Y mucho menos se hacen esas pruebas de concepto en web ajenas cuando tienes el código para probarlo y mostrarlo "en casa".
Ya se le ha dicho al de Buayacorp que avise antes si se dedica a descubrir fallos de los demás y publicarlos en su blog pero nada...tendremos que ponernos todos a descubrirle fallos a sus webs y publicarlas en el menéame sin avisarlo. Es que no l entiendo, ya que te tomas la molestia de leerte el código en busca de fallos para publicar un post y mandarlo al menéame, porque no te tomas 5 minutos en avisar al autor del código antes? A mi como a los demás que han montado un clon nos jode bastante...asegura tu código buayacorp...
#6 No me refiero a este caso concreto, ya que ya esta corregido en el menéame y los que hayan creado un clon deben de preocuparse de corriger los errores una vez Galli los corrija o haciendolo ellos y enviando un parche. A mi lo que me molesta es que descubras un fallo en el menéame y publiques un post en tu blog sin comunicarselo a Galli, al menos, para que el corrija el fallo y asi los demás nos enteremos. Y tb podrias haber enviado un parche con la corrección para que Galli no se rompa la cabeza y se dedique a buscar el fallo concreto por el código para corregirlo cuando ya lo has echo tú y no contento con eso publicas un exploit. Galli tiene muy poco tiempo para dedicarle al menéame y no estaria de más que le echaramos una mano.
#4 y #5, el bug ha sido corregido en la versión principal de menéame el 25/09/2006, así que no veo cuál es el problema.
El punto es que muchos de los propietarios o encargados de los clones al parecer no están al tanto de las correciones que se hacen en el script de menéame, creo que tuve una opinión errada al pensar que ésta sería una forma de difundir la falla y que se corrija de la manera más rápida (me llevaría mucho tiempo ponerme en contacto con cada encargado de un clon).
#7, en todas las ocasiones he intentado siempre comunicarme con Galli, bien por la página de bugs o por email, en mi opinión creo que lo que el problema aquí, es que no existe una forma rápida de difundir las correcciones que se hacen y que los interesados puedan parchar sus versiones ante problemas algo críticos (no todos miran el archivo CHANGES).
PS. Disculpa por no enviar un parche, lo tendré en cuenta para posteriores ocasiones.
Comentarios
¿Menéame, vulnerable a ataques XSS?
¿Menéame, vulnerable a ataques XSS?
buayacorp.comHum... es antigua, pero el autor no avisó antes (me avisaron del bug por otro medio) para que se repare y se actualice (es el script de trackbacks: trackback.php).
Eso no se hace, al menos se avisa y se deja un tiempo mínimo razonable para que los otros actualicen. O mejor aún, se envía un parche.
Y mucho menos se hacen esas pruebas de concepto en web ajenas cuando tienes el código para probarlo y mostrarlo "en casa".
Ya se le ha dicho al de Buayacorp que avise antes si se dedica a descubrir fallos de los demás y publicarlos en su blog pero nada...tendremos que ponernos todos a descubrirle fallos a sus webs y publicarlas en el menéame sin avisarlo. Es que no l entiendo, ya que te tomas la molestia de leerte el código en busca de fallos para publicar un post y mandarlo al menéame, porque no te tomas 5 minutos en avisar al autor del código antes? A mi como a los demás que han montado un clon nos jode bastante...asegura tu código buayacorp...
#6 No me refiero a este caso concreto, ya que ya esta corregido en el menéame y los que hayan creado un clon deben de preocuparse de corriger los errores una vez Galli los corrija o haciendolo ellos y enviando un parche. A mi lo que me molesta es que descubras un fallo en el menéame y publiques un post en tu blog sin comunicarselo a Galli, al menos, para que el corrija el fallo y asi los demás nos enteremos. Y tb podrias haber enviado un parche con la corrección para que Galli no se rompa la cabeza y se dedique a buscar el fallo concreto por el código para corregirlo cuando ya lo has echo tú y no contento con eso publicas un exploit. Galli tiene muy poco tiempo para dedicarle al menéame y no estaria de más que le echaramos una mano.
Es muy antigua
#1: el exploit aprovecha otra vulnerabilidad.
#4 y #5, el bug ha sido corregido en la versión principal de menéame el 25/09/2006, así que no veo cuál es el problema.
El punto es que muchos de los propietarios o encargados de los clones al parecer no están al tanto de las correciones que se hacen en el script de menéame, creo que tuve una opinión errada al pensar que ésta sería una forma de difundir la falla y que se corrija de la manera más rápida (me llevaría mucho tiempo ponerme en contacto con cada encargado de un clon).
#7, en todas las ocasiones he intentado siempre comunicarme con Galli, bien por la página de bugs o por email, en mi opinión creo que lo que el problema aquí, es que no existe una forma rápida de difundir las correcciones que se hacen y que los interesados puedan parchar sus versiones ante problemas algo críticos (no todos miran el archivo CHANGES).
PS. Disculpa por no enviar un parche, lo tendré en cuenta para posteriores ocasiones.