WordPress 5.2 έρχεται σήμερα με offline ψηφιακές υπογραφές

Το νέο WordPress 5.2 που θα κυκλοφορήσει σήμερα θα φέρει μια νέα τεχνολογία για τις αυτόματες ενημερώσεις, σαν ένα νέο μέτρο άμυνας, εναντίων πιθανών στους servers που διανέμουν τις ενημερώσεις. Η νέα έκδοση μαζί με όλα τα άλλα που έχουμε αναφέρει ήδη, θα φέρει και τις offline ψηφιακές υπογραφές για όλες τις βασικές ενημερώσεις, θεμάτων, και μεταφράσεων.

WordPress 5.2

Αυτή η νέα λειτουργία έρχεται να συμπληρώσει τον μηχανισμό αυτόματων ενημερώσεων της WordPress που παρουσιάστηκε για πρώτη φορά με την έκδοση 3.7 που κυκλοφόρησε στις 24 Οκτωβρίου του 2013. Το νέο χαρακτηριστικό ασφαλείας αποτρέπει κάθε πιθανό εισβολέα να διαθέσει κακόβουλες εκδόσεις του CMS ακόμα κι αν έχει αποκτήσει έλεγχο σε όλες τις εγκαταστάσεις και τις υποδομές του WordPress.

Πριν από την κυκλοφορία του WordPress 5.2, αυτό θα μπορούσε να γίνει επειδή δεν υπήρχε μηχανισμός επαλήθευσης υπογραφής για τα πακέτα που προωθεί ο διακομιστής ενημέρωσης.

Έτσι αφού οι αυτόματες ενημερώσεις θα είναι πλέον ενεργοποιημένες “από προεπιλογή, για μικρές εκδόσεις του πυρήνα και για τα αρχεία μετάφρασης” σύμφωνα με τον ιστότοπο τεκμηρίωσης του WordPress, μια τέτοια επίθεση θα μπορούσε να οδηγήσει στην άμεση μόλυνση του 33,8% περίπου όλων των ιστότοπων στο Δια.

“Μια αποτυχία αυτού του μεγέθους θα ήταν καταστροφική για τον Παγκόσμιο Ιστό και θα παρείχε μια τεράστια πλατφόρμα επίθεσης στον επιτιθέμενο, ο οποίος θα μπορούσε να ελέγξει εκατομμύρια λογαριασμούς web από τους οποίους θα μπορούσε να ξεκινήσει νέες επιθέσεις”, αναφέρει η WordFence.

Η λειτουργία των offline ψηφιακών υπογραφών που θα κυκλοφορήσει σήμερα με το νέο WordPress 5.2 προσθέτει ένα πραγματικό επίπεδο άμυνας σε μια επίθεση από παραβιασμένες υποδομές (στους servers της διεύθυνσης api.wordpress.org).

Η Paragon Initiative Enterprises έθεσε για πρώτη φορά την πρόταση για την θωράκιση του WordPress από τις επιθέσεις που περιγράψαμε παραπάνω, και πολλές από τις προτάσεις που έκανε συμπεριλήφθηκαν στη βάση δεδομένων του WordPress 5.2.

Όπως εξηγεί ο Arciszewski της Paragon Initiative Enterprises:

Πριν από το WordPress 5.2, αν θέλατε να μολύνετε κάθε ιστοσελίδα του WordPress στο Internet (περίπου το 33,8% των ιστοσελίδων αυτή τη στιγμή), απλά έπρεπε να χτυπήσετε τον διακομιστή ενημερώσεων. Με αυτόν τον τρόπο, θα μπορούσατε χρησιμοποιώντας την δυνατότητα αυτόματης ενημέρωσης να εγκαταστήσετε κακόβουλο κώδικα, ο οποίος σας επέτρεπε να κάνετε τα πάντα  (π.χ. να δημιουργήσετε το μεγαλύτερο botnet DDoS στον κόσμο).

Από το WordPress 5.2 και μετά, θα πρέπει να πραγματοποιήσετε την ίδια επίθεση αλλά θα πρέπει να έχετε και τις ψηφιακές υπογραφές από το WordPress core. Μετά το WordPress 5.2 θα υπογράφονται ψηφιακά μόνο οι βασικές ενημερώσεις του CMS. Τα plugins και τα θα υπογράφονται αργότερα.

iGuRu.gr The Best Technology Site in Greecefgns

κάθε δημοσίευση, άμεσα στο inbox σας

Προστεθείτε στους 2.100 εγγεγραμμένους.

Written by giorgos

Ο Γιώργος ακόμα αναρωτιέται τι κάνει εδώ....

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).