WordPress3.5.1远程拒绝服务漏洞

　　博主你的独立博客如果搭建在WordPress3.5.1的话就要注意了，目前据说这个版本暴出了远程拒绝服务漏洞，如果官方已经出了升级的版本，请尽快升级，如果还没有就请采用本文提及的办法临时解决掉这个漏洞。

　　WordPress 3.5.1 crypt_private()远程拒绝服务漏洞(CVE-2013-2173)SSV-ID: 60863

　　SSV-AppDir: WordPress漏洞

　　发布时间: 2013-06-11 (GMT+0800)

　　漏洞版本:WordPress 3.5.1漏洞描述:BUGTRAQ ID: 60477

　　CVE(CAN) ID: CVE-2013-2173

　　WordPress是一种使用PHP语言和MySQL数据库开发的Blog。

　　WordPress的加密模块class-phpass.php中存在安全漏洞，可导致拒绝服务。要利用此漏洞需要至少一个帖子受到密码保护。<* 参考

　　rgod (rgod@autistici.org)

　　http://seclists.org/bugtraq/2013/Jun/41

　　https://vndh.net/note:wordpress-351-denial-service

　　*>

　　Sebug安全建议:临时解决方法：

　　在厂商发布补丁或者升级之前，Sebug建议您采取以下措施以降低威胁：

　　--- wp-includes/class-phpass.php

　　+++ wp-includes/class-phpass.php

　　@@ -120,7 +120,7 @@

　　return $output;

　　$count_log2 = strpos($this->itoa64, $setting[3]);

　　- if ($count_log2 < 7 || $count_log2 > 30)

　　+ if ($count_log2 < 7 || $count_log2 > 13)

　　return $output;

　　$count = 1 << $count_log2;

　　厂商补丁：

　　WordPress

　　---------

　　目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本。

　　希望广大博主不要忽视了网络安全，自己辛辛苦苦写的东西就岌岌可危了。

转截请注明:文章来自 pc捍卫者 http://www.pchwz.com 本站发布此文为传递更多信息之目的,不表明pc捍卫者赞同其观点