zoukankan html css js c++ java

WordPress 3.5.1 crypt_private()远程拒绝服务漏洞(CVE-2013-2173)

漏洞版本:

WordPress 3.5.1

漏洞描述:

BUGTRAQ  ID: 60477
CVE(CAN) ID: CVE-2013-2173

WordPress是一种使用PHP语言和MySQL数据库开发的Blog。

WordPress的加密模块class-phpass.php中存在安全漏洞，可导致拒绝服务。要利用此漏洞需要至少一个帖子受到密码保护。

<* 参考

rgod （rgod@autistici.org）

http://seclists.org/bugtraq/2013/Jun/41
https://vndh.net/note:wordpress-351-denial-service

安全建议:

临时解决方法：

在厂商发布补丁或者升级之前，Sebug建议您采取以下措施以降低威胁：

--- wp-includes/class-phpass.php
+++ wp-includes/class-phpass.php
@@ -120,7 +120,7 @@
                      return $output;

              $count_log2 = strpos($this->itoa64, $setting[3]);
-             if ($count_log2 < 7 || $count_log2 > 30)
+             if ($count_log2 < 7 || $count_log2 > 13)
                      return $output;

              $count = 1 << $count_log2;

厂商补丁：

WordPress
---------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://wordpress.org/

查看全文

相关阅读:
python编码的那些事
 算法基础与排序
 排序算法之low B三人组
 Django之反向生成url
ipython的用法详解
 python3的zip函数
 Django中url的生成过程详解
 Django的ORM实现数据库事务操作
 Django的admin.py注册流程
 Django跨域请求之JSONP和CORS

原文地址：https://www.cnblogs.com/security4399/p/3166066.html