A Wordpress 2.1.1 "backdoor"-t tartalmaz

Bug

A Wordpress blog / személyes oldalmotor fejlesztői arra hívják fel a figyelmet, hogy a Wordpress 2.1.1-es verziója "backdoor"-t tartalmaz. A bejelentés szerint egy rosszindulatú támadónak sikerült hozzáférnie a wordpress.org-ot kiszolgáló egyik szerverhez. Miután bejutott a rendszerre, ott módosította a 2.1.1-es verzió letöltési csomagját, és abban olyan kódot helyezett el, amely távoli kódfuttatásra ad lehetőséget. A probléma észlelése után a fejlesztők a 2.1.1-es verziót "veszélyesnek" jelölték, és arra kérnek mindenkit, aki az utóbbi pár napban ilyen verziót töltött le, hogy azonnal frissítsen 2.1.2-re. A teljes bejelentés itt.

( uid_4263 v | 2007. 03. 03., szo – 10:24 )

"egy rosszundulatú támadónak sikerült hozzáférnie a wordpress.org-ot kiszolgáló egyik szerverhez. Miután bejutott a rendszerre, ott módosította a 2.1.1-es verzió letöltési csomagját, és abban olyan kódot helyezett el, amely távoli kódfuttatásra ad lehetőséget. A probléma észlelése után a fejlesztők a 2.1.1-es verziót "veszélyesnek" jelölték"

poénságos.

( ng | 2007. 03. 03., szo – 10:32 )

Pedig a WP egy általam igen nagyra tartott publikációs rendszer, csak azért nem használtam mert túlméretezett, áttekinthetetlen. Ez a logikám most be is igazolódott tehát akkor. Sosem szerettem külső libektől függni egy olyan egyszerű szkriptnyelvben mint a php. De még ajaxhoz se szeretek kész megoldásokat használni bár ez nem tartozik a tárgyhoz. Okos vagyok, simi buksi.

Szerkesztek hogy ne legyen sértődés.

Példa.

Zenwalk akkor esett ki nálam a használható disztribek közül amikor megdöglött a repószerverük és nem volt backup. Aztán mikor írták hogy többeknél előfordultak gondok upgrade esetén.

Szumma: Szerintem megbízhatatlan. Azaz: megvan a veszélye annak, hogy a más által írt és karbantartott kód nem biztonságos.

Ez alapján nem sok mindenben bízhatsz... Debian Project szervereit számtalanszor feltörték, az OpenBSD cvs és ftp szervereit szintén (openssh forrásban is volt már backdoor, meg az ftpd-ben is), cvs.kernel.org-ot is feltörték már többször is, bár az egyik Linux kernelbe való backdoor csempészést észrevette a Bitkeeperes arc, de nem lehet tudni, hogy előtte vagy azóta nem sikerült-e észrevétlenül ugyanezt megtenni valakinek. Gyakorlatilag az összes cvs-t használó nagyobb projekt fejlesztői szervere fel lett már törve, köszönhetően többek közt egy régi cvs heap overflow bugnak. Mivel Windows-t használsz, ezért nyilván nem elhanyagolható az sem, hogy a Microsoft belső hálózatába is jutottak már be, tehát ott sem lehet tudni semmi biztosat (meg egyébként is ki bízik bennük, nemigaz? ;). Szóval ez alapján nemigazán tudom, hogy mi az, amit biztonsággal használhatnál... :D

Na jó akkor finomítok a véleményemen.

Örülök hogy kiderült ez a hiba, megjelent a javítás, persze még jobban örülnék ha használnám a WP-t, kifejezetten szerencsésnek tekinteném magam hogy van egy magyar weboldal ahol hírt adnak ilyesmikről.
Az hagyján, hogy én miben bízok, de hogyan bízzanak egy kőmíjesben ha kártyából építkezik?

(Az hogy windowst is használok, felér egy orosz rulettel, de momentán nem tudok jobbat kitalálni erre a gépre, ami nem is az enyém.)

( Replaced | 2007. 03. 03., szo – 19:19 )

Pontscho, itt az alkalom, hogy berobbanj a blogszoftver-piacra! :D

--
whatever