Η απουσία του CSPRNG απειλεί τo Wordpress

To WordPress έχει γίνει ο νούμερο ένα στόχος για τους εισβολείς και ερευνητές ασφαλείας για έναν πολύ καλό λόγο. Το λογισμικό αυτό το τρέχουν πολλά sites ανά τον κόσμο και δεν έχει αναφερθεί κάποια σοβαρή ευπάθεια μέχρι στιγμής, αλλά υπάρχει ένα καινούριο bug το οποίο υπάρχει σ'όλες τις εκδόσεις του wordpress, το οποίο μπορεί να επιτρέψει στον εισβολέα να πάρει τον έλεγχο των sites.

Tο θέμα υπάρχει στο γεγονός ότι το WordPress δεν περιέχει έναν κρυπτογραφικά ασφαλή pseudorandom number generator. Ένας ερευνητής με το όνομα Scott Arcizewski έκανε τους διαχειριστές/συντηρητές του WordPress να έχουν υπόψιν τους το πρόβλημα,πριν περίπου οχτώ μήνες και είπε πως εξέλαβε ελάχιστο ενδιαφέρον.

O Arcizewski έχει φτιάξει ένα patch για το πρόβλημα και το έχει εκδόσει, αλλά δεν το έχει εκμεταλευτεί το WordPress.

O ίδιος λέει πως δεν έχει φτιάξει κάποιο exploit για το θέμα αλλά είπε πως ένας χάκερ θα πρέπει να είναι σε θέση να προβλέψει τον επόμενο RNG seed για να είναι σε θέση να τον κάνει exploit.

Σύμφωνα με τον ίδιο:"Υπάρχει ένας κανόνας στην ασφάλεια:οι επιθέσεις γίνονται καλύτερες, ποτέ χειρότερες.Εάν δεν είναι προσβάσιμο σε επιθέσεις σήμερα δεν μας εγγυάται κανείς οτι δεν θα είναι ούτε και στα επόμενα πέντε με δέκα χρόνια. "


Share on Google Plus

About Twelve Monks

    Blogger Comment
    Facebook Comment

0 σχόλια:

Δημοσίευση σχολίου