Total Security - totalsecurity.com.br
Bugs
Segunda - 05 de Março de 2007 às 08:38
Por: Luiz Celso

    Imprimir


Matt Mullenweg, criador do software WordPress, anunciou ontem (2/03) no blog do projeto que o servidor de download foi comprometido e arquivos da versão 2.1.1 foram modificados. As modificações tornam a versão vulnerável a ataques que poderiam permitir a invasão dos servidores onde ela for instalada. A versão modificada ficou online por 3 ou 4 dias e a atualização para a versão 2.1.2 é altamente recomendada.

Mullenweg explica que uma nota questionando sobre um código estranho e inseguro chegou na lista de discussão do projeto na manhã desta sexta-feira (2/03). Uma verificação confirmou que o código havia sido colocado por algum invasor somente nos servidores de download, pois o código não existia no SVN (onde os desenvolvedores do WordPress guardam o código original).

O código adicionado ao WordPress pode permitir que um servidor ou site seja comprometido. Ele dá uma “porta dos fundos” a um invasor, para que este consiga acesso aos sites que possuem WordPress instalado sem precisar explorar uma falha de segurança legítima do programa. Ainda não se sabe como o invasor conseguiu acesso aos servidores de download do WordPress.

Nem todos os downloads da versão 2.1.1 possuem o código problemático. A versão foi lançada dia 21 de fevereiro e a invasão só teria ocorrido por volta de uma semana depois. Mesmo assim, Mullenweg recomenda que todos os usuários da versão 2.1.1 atualizem para a versão 2.1.2, que também corrige uma falha de XSS (Cross-site Scripting). Downloads da série 2.0 não foram afetados.


Fonte: Linha Defensiva




Comentários

Deixe seu Comentário

URL Fonte: http://totalsecurity.com.br/noticia/1746/visualizar/