want to advertise here $100 / views

Jun 12, 2013

Kerentanan DOS Mempengaruhi WordPress 3.5.1

Peneliti keamanan Krzysztof Katowicz-Kowalewski telah mengidentifikasi kerentanan denial-of-service mempengaruhi versi terbaru dari WordPress.


Kerentanan telah dikonfirmasi di WordPress 3.5.1, tapi varian lainnya mungkin juga dipengaruhi oleh lubang keamanan. Menurut Secunia, masalah ini katalog sebagai "cukup kritis."

"Kerentanan ini disebabkan karena adanya kesalahan ketika menghitung jumlah siklus hash dalam" crypt_private () "metode / wp-includes/class-phpass.php dan dapat dimanfaatkan untuk menguras sumber daya CPU dan memori dengan mengirimkan permintaan HTTP dengan khusus dibuat sandi cookie, "membaca penasehat Secunia.

"Eksploitasi sukses membutuhkan pengetahuan URL untuk posting sandi-dilindungi," terus penasehat.

Katowicz-Kowalewski mengatakan ia telah memberitahu tim keamanan WordPress tentang kerentanan, tapi karena ia belum menerima tanggapan dari mereka, ia telah memutuskan untuk membuat publik penelitiannya. Sampai masalah ini ditangani secara permanen, ahli menyarankan pengguna untuk menerapkan patch ia telah mengembangkan.

Katowicz-Kowalewski menyoroti fakta bahwa kode buggy tidak ditulis oleh pengembang WordPress. Sebaliknya, itu terletak di "Portabel PHP kerangka hashing password" yang diciptakan oleh Solar Designer.

Namun, ahli berpendapat ini masih keprihatinan WordPress.

"Meskipun perpustakaan eksternal, jelas bahwa masalah keamanan terkait perangkat lunak WordPress juga. Selain itu, perpustakaan mungkin atau mungkin tidak akan siap untuk aplikasi perilaku tertentu dan pengembang perlu memperhatikan masalah yang mungkin timbul ketika menerapkan dukungan untuk beberapa kode eksternal, "tulisnya di blognya.

"Artinya, dalam jujur ​​pendapat saya, masalah dalam kasus ini terkait hanya untuk WordPress dan implementasi dari sistem otorisasi. Pengguna tidak harus mampu melewati sewenang-wenang string untuk crypt_private fungsi -. Data yang diberikan ke perpustakaan perlu dibersihkan dan / atau kode crypt_private perlu dimodifikasi untuk memenuhi persyaratan aplikasi "

Artikel Terkait

0komentar:

Post a Comment