srijeda, 3. kolovoza 2011.

Pronađena "zero day" ranjivost u alatu WordPressa

Otkrivena je "zero day" ranjivost u alatu korištenom za popularnu platformu WordPress, namijenjene za vođenje internetskih dnevnika (blogova). Hakeri iskorištavaju ranjivost koja se nalazi unutar alata za baratanje slikama TimThumb, a omogućuje im udaljeno postavljanje malicioznog koda.

Ranjivost proizlazi iz načina na koji alat dohvaća slikovne datoteke s web sjedišta poput Flickra i Photobucketa. Problem je što alat čini tek djelomičnu provjeru domene na web poslužitelju s kojeg se datoteka dohvaća, čime je napadačima omogućeno postavljanje i izvršavanje proizvoljnog php koda unutar .php cache direktorija. O ovom je slučaju izvijestio Mark Maunder, izvršni direktor Feedjita, nakon što je hakirano web sjedište WordPressa. Također je objavio detalje o izdanoj privremenoj zakrpi koja isključuje neke funkcionalnosti alata kako bi se otklonila ranjivost. Ben Gillbanks, koji je razvio TimThumb, ističe da će alat biti nadograđen te savjetuje primjenu spomenute nadogradnje kako bi se smanjila mogućnost izvođenja napada.

Izvor: Cert.hr

1 komentar:

  1. Barem se vidi da se trude. Wordpress je sve močniji iz dana u dan, daleko je dogurao od jednog običnog blogging cms-a.

    OdgovoriIzbriši

Poruka će biti vidljiva nakon provjere.