wordpress

Ευπάθεια Zero Day στα WordPress sites

Ένας εισβολέας μπορεί να είναι σε θέση να αναλάβει τον πλήρη έλεγχο μιας ιστοσελίδας που χρησιμοποιεί την πλατφόρμα WordPress λόγω έλλειψης του cryptographically secure pseudorandom number generator (CSPRNG).Wordpress

Το CSPRNG είναι ένας μηχανισμός που παράγει τυχαίους αριθμούς σε έναν υπολογιστή, ο οποίος μπορεί να εφαρμοστεί για κρυπτογραφικές σκοπούς, όπως την παραγωγή keys ή salts. Οι αριθμοί είναι ψευδοτυχαίοι επειδή μια πραγματικά τυχαία σειρά μπορεί να παραχθεί μόνο σε θεωρητικό επίπεδο.

Το σφάλμα στο WοrdPress ανακαλύφθηκε από τον Scott Arciszewski, έναν Web προγραμματιστή από το Orlando της Florida. Έχει ενημερώσει ήδη τους τεχνικούς της WοrdPress για την ανάγκη της εφαρμογής ενός μηχανισμού CSPRNG στην πλατφόρμα, προκειμένου να εξαλειφθεί ακόμη και την παραμικρή πιθανότητα να μπορεί κάποιος να προβλέψει το link που χρησιμοποιείται για την επαναφορά των κωδικών πρόσβασης.

Όποιος το καταφέρει θα είναι σε θέση να παραβιάσει όλα τα WοrdPress που υπάρχουν στον ιστό. Ωστόσο, προς το παρόν δεν υπάρχει κάποια διαθέσιμη μέθοδος.

Ο Arciszewski αναφέρει ότι προσπάθησε πολλές φορές να φέρει το ζήτημα στην προσοχή των τεχνικών της WοrdPress. Πρώτη φορά στις 25 του Ιούνη του 2014, ανοίγοντας ένα ticket για το θέμα στον tracker της πλατφόρμας. Η επόμενη φορά ήταν κατά τη διάρκεια του WordCamp στο Orlando, μια διάσκεψη που επικεντρώθηκε στην πλατφόρμα της WοrdPress.

Μια δημοσίευση του ερευνητή που αποκαλύπτει πλήρως την ευπάθεια, διαθέτει παράλληλα και ένα patch που δημιουργήθηκε από τον ίδιο, το οποίο δεν έχει ενσωματωθεί ακόμη στο WordPress.

Patch available with unit tests and PHP 5.2 on Windows support at
https://core.trac.wordpress.org/attachment/ticket/28633/28633.3.patch

Να υπενθυμίσουμε ότι το WοrdPress χρησιμοποιείται από 75 εκατομμύρια ιστοσελίδες στο διαδίκτυο. Παρ ‘όλα αυτά, η συγκεκριμένη ευπάθεια απαιτεί πολλές γνώσεις και δεξιότητες, κάτι που αποθαρρύνει πολλούς επίδοξους hackers.

iGuRu.gr The Best Technology Site in Greeceggns

Get the best viral stories straight into your inbox!















Written by giorgos

Ο Γιώργος ακόμα αναρωτιέται τι κάνει εδώ....

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).