Механизм загрузки обновлений для WordPress представляет угрозу для безопасности данных

Стало известно о рисках, связанных с использованием механизма доставки обновлений для WordPress. Обнаружил ее глава отдела разработки компании Paragon Initiative Enterprises Скотт Арцишевски, однако убедить команду WordPress в серьезности проблемы ему не удалось.

Всего было обнаружено три проблемы. Первая в этом списке находка связана с функцией в исходном коде WordPress, ответственной за связь CMS с сервером и загрузкой обновлений. Эта функция проверяет подлинность загружаемых файлов исключительно по контрольной сумме MD5 без использования криптографической подписи. Проблема известна уже три года, но до сих пор не была исправлена.

Находка номер два связана с серверами, с которых загружаются обновления. Серверы являются единой точкой отказа во всей архитектуре экосистемы WordPress. По словам Арцишевски, под управлением данной CMS работает 25% интернет-сайтов, из чего следует, что злоумышленник с доступом к серверу может спровоцировать загрузку вредоносных обновлений миллионами ресурсов.

Третья проблема связана с поддерживаемой WordPress минимальной версией PHP – PHP 5.2.4. Арцишевски советует использовать PHP 5.6.0 с лучшей реализацией SSL/TLS.

Источник http://www.securitylab.ru/

Оставить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

*