Механизм загрузки обновлений для WordPress угрожает безопасности данных
Глава отдела разработки компании Paragon Initiative Enterprises Скотт Арцишевски (Scott Arciszewski) предупредил о рисках, связанных с использованием механизма доставки обновлений для WordPress. Арцишевски сообщил о проблемах команде WordPress, однако ему так и не удалось убедить ее в их серьезности.
В общей сложности эксперт обнаружит три проблемы. Первая из них связана с функцией в исходном коде WordPress, ответственной за связь CMS с сервером и загрузкой обновлений. Данная функция проверяет подлинность загружаемых файлов только по контрольной сумме MD5 без использования криптографической подписи. О проблеме стало известно еще три года назад, однако она до сих пор остается актуальной.
Вторая загвоздка заключается в серверах, с которых загружаются обновления. Серверы являются единой точкой отказа во всей архитектуре экосистемы WordPress. По словам Арцишевски, под управлением данной CMS работает 25% всех интернет-сайтов, а значит, злоумышленник с доступом к серверу может заставить миллионы ресурсов загрузить вредоносные обновления.
Третья проблема связана с поддерживаемой WordPress минимальной версией PHP - PHP 5.2.4. Арцишевски советует использовать PHP 5.6.0 с лучшей реализацией SSL/TLS.
Читайте также
- Ошибка в API Facebook предоставляла доступ к фото 6,8 млн пользователей
- Одного ноутбука оказалось достаточно для компрометации всей корпоративной сети
- Депутаты Госдумы разработали план по обеспечению работы Рунета на случай отключения от Сети
- Морские суда часто подвергаются кибератакам
- 25 декабря состоится встреча сообщества специалистов по кибербезопасности АСУ ТП / RUSCADASEC
- Уязвимость в приложении Logitech позволяла удаленно инициировать нажатие клавиш