José Carlos Norte recientemente publicó en su blog un nuevo fallo de seguridad descubierto en el popular y tan conocido CMS WordPress, a través de este fallo permite dejar fuera de línea un blog instalado con WordPress causado por un Ataque por Denegación de Servicio.
El bug se encuentra en el archivo wp-trackback.php quien no valida adecuadamente la variable $charset, permitiendo ingresar una peticion POST especialmente diseñada con una cantidad indeterminada de parámetros, causando un gran consumo de memoria y CPU hasta que estos se agoten y el servidor deja de responder.
Todas las versiones de WordPress hasta el momento son vulnerables a este fallo (y según Jose Carlos, el parche que publicaría WordPress tampoco lo soluciona), aunque dependiendo de la configuración individual de cada servidor, el problema es mayor o menor, por ejemplo un servido con mod_security, no seria vulnerable ya que bloquearía estas peticiones mal intencionadas, también se pueden mitigar los daños con una adecuada configuración del parámetro php_memory_limit del php.ini para evitar que tus desarrollos web utilicen mas memoria de la que en realidad necesitan, podrías también utilizar el WP-IDS un mod para WordPress del PHPIDS (reseñado el la guía blanca de seguridad en wordpress WordPress Security Whitepaper) el cual bloquearía no solo estas peticiones sino muchos mas problemas de seguridad.
Para conocer más sobre este fallo, te recomiendo que consultes a DragonJar y el blog de José Carlos Norte.
![Como descomprimir un archivo CSS [mejorado]](http://www.elcodigok.com.ar/wp-content/themes/mashlife/includes/timthumb.php?src=http%3A%2F%2Fs1.elcodigok.com.ar%2F2012%2F01%2Fcss_code.jpg&h=&w=&zc=1)
