WordPress 2.8.4 : Réinitialisation de mots de passe sauvages corrigée

Comme je vous le disais hier, je m’attendais à ce que l’équipe WordPress sorte une nouvelle version de sa solution de blogs pour corriger la vulnérabilité de réinitialisation de mots de passe sauvage dont est victime les versions 2.8.3 et antérieures. C’est finalement le cas puisque l’éditeur a livré cette nuit WordPress 2.8.4.

Sachant que la nouvelle version est sortie, les personnes qui n’avaient pas fait attention à l’alerte de sécurité vont certainement mettre à jour leur(s) blog(s).

Etonnamment le Trac annonce toujours 51 tickets actifs et 0 clos… le temps d’estampiller cela WordPress 2.8.5 j’imagine.

Source : Blog WordPress

Facebook : La fonction de recherche évolue de manière significative

L’énorme réseau social qui vient de dévorer FriendFeed améliore sa fonction de recherche. Difficile de ne pas voir le message annonçant la nouvelle vous me direz.

Welcome to the new, more useful Search page.

Now you can search your friends’ posts for relevant statuses and links. Use the filters on the left to get to friends’ posts and more. Learn more from the Help Center.

Bienvenue dans la nouvelle page de recherche.

Vous pouvez désormais rechercher des informations dans ce que vos amis publient, comme dans leurs statuts et dans leurs liens. Pour ce faire, utilisez les filtres affichés à gauche. Pour en savoir plus, consultez les pages d’aide.

Il est désormais possible de bénéficier des résultats de recherche classés ou plutôt filtrés selon les critères suivants :

• Tous les résultats (All Results)
• Personnes (People)
• Pages (Pages)
• Groupes (Groups)
• Applications (Applications)
• Evénements (Events)
• Sur le web (Web Results)
• Vos amis (Posts by Friends)
• Tout le monde (Posts by Everyone)

Une telle fonctionnalité était vraiment nécessaire pour retrouver des informations précises au sein de tout ce que peuvent raconter nos contacts.

Twitter : Croissance et répartition par tranches d’âge

L’entreprise Nielsen, spécialisée dans le marketing, publiait il y a quelques jours des graphiques représentant non seulement l’évolution de l’audience du service de microblogging Twitter mais aussi le partage de cette dernière par tranches d’âge pour juillet 2009.

Comme vous pouvez le voir, 20% ont plus de 55 ans, 64% entre 25 et 54 ans et finalement 16% entre 2 et 24 ans.

Cela confirme donc bien les dires de la banque d’investissement Morgan Stanley : teenagers do not use Twitter.

Cette tendance va-t-elle se confirmer dans les mois à venir ou est-ce que les adolescents vont à leur tour trouver un intérêt à Twitter ?

Source : Nielsen

Tr.im : Le raccourcisseur d’URLs sauvé après une annonce de fermeture

Tr.im annonçait il y a quelques jours seulement sa fermeture définitive. La page d’accueil du site affichait le message ci-dessous.

tr.im is now in the process of discontinuing service, effective immediately.

Statistics can no longer be considered reliable, or reliably available going forward.

However, all tr.im links will continue to redirect, and will do so until at least December 31, 2009.

Your tweets with tr.im URLs in them will not be affected.

We regret that it came to this, but all of our efforts to avoid it failed.

No business we approached wanted to purchase tr.im for even a minor amount.

There is no way for us to monetize URL shortening — users won’t pay for it — and we just can’t justify further development since Twitter has all but annointed bit.ly the market winner.

There is simply no point for us to continue operating tr.im, and pay for its upkeep.

We apologize for the disruption and inconvenience this may cause you.

Mais nous apprenons tout juste de par le blog officiel que le service de raccourcissement d’URLs réouvre. L’équipe explique en effet qu’il ne pouvait en être autrement après les incessants soutiens dont elle a été victime.

L’aventure continue donc pour Tr.im.

WordPress 2.8.3 : Correctif de sécurité en attendant WordPress 2.8.4

En apprenant la vulnérabilité de WordPress 2.8.3 ce matin, je m’attendais à une réaction de la part de l’éditeur de la solution de blogs. Plus exactement je pensais voir débarquer une nouvelle version de WordPress mais c’est finalement un patch qui a été partagé sur le Trac.

Pour rappeler rapidement les faits, il est possible de réinitialiser le mot de passe sans avoir la clé normalement requise. Les accès ne pourront donc pas être récupérés mais cela irritera de façon certaine le détenteur du blog.

La vulnérabilité est la suivante pour WordPress 2.8.3 mais aussi pour toutes les versions antérieures.

http://www.domaine.tld/wp-login.php?action=rp&key[]=

Afin de corriger le problème, il suffit de remplacer la ligne 190 du fichier wp-login.php :

if ( empty( $key ) )

Par :

if ( empty( $key ) || is_array( $key ) )

Comme certains d’entre vous auront pu le comprendre, le fait de proposer un tableau audit fichier permet de passer outre le test qui aurait dû vous tenir à l’écart.