Обнаружены три проблемы в механизме доставки обновлений для WordPress


WordPressГлава отдела разработки компании Paragon Initiative Enterprises обнаружил три проблемы в механизме доставки обновлений для WordPress.

Первая проблема - связана с функцией в исходном коде WordPress, ответственной за связь CMS с сервером и загрузкой обновлений. Основная задача данной функции - проверка подлинности загружаемых файлов только по контрольной сумме MD5 без использования криптографической подписи. И хотя проблема стала известна еще три года назад, тем не менее, она до сих пор остается актуальной.

 

Вторая загвоздка - кроется в серверах, с которых загружаются обновления. Серверы являются единой точкой отказа во всей архитектуре экосистемы WordPress. Как утверждает эксперт, под управлением данной CMS работает 25% всех интернет-сайтов. Из этого следует, что злоумышленник с доступом к серверу может заставить миллионы ресурсов загрузить вредоносные обновления.

Третья проблема - заключается в поддерживаемой WordPress минимальной версией PHP - PHP 5.2.4. Эксперт советует использовать PHP 5.6.0 с лучшей реализацией SSL/TLS.

О выявленных проблемах и их последствиях была уведомлена команда WordPress, однако они не считают, что данные ошибки настолько серьезны.


Обновлено (22.11.2016 21:10)