Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 11 reacties
Bron: WordPress, submitter: WorldWideWait

WordPress heeft bekendgemaakt dat er een nieuwe versie van zijn weblogscript beschikbaar is gesteld. WordPress is een open weblogsoftware die onder de gpl-licentie valt. De software kan naar eigen zeggen binnen vijf minuten draaien op een computer waarop PHP en MySQL staat. Naast het 'bloggen' is het ook mogelijk om WordPress uit te breiden door middel van plugins en themes. Het gaat dit keer om een beveilingsupdate vanwege het feit dat een onbekende cracker de bestanden van versie 2.1.1 had aangepast op de servers van WordPress. De aankondiging ziet er als volgt uit:

WordPress 2.1.1 dangerous, Upgrade to 2.1.2

Long story short: If you downloaded WordPress 2.1.1 within the past 3-4 days, your files may include a security exploit that was added by a cracker, and you should upgrade all of your files to 2.1.2 immediately.

Longer explanation: This morning we received a note to our security mailing address about unusual and highly exploitable code in WordPress. The issue was investigated, and it appeared that the 2.1.1 download had been modified from its original code. We took the website down immediately to investigate what happened.

It was determined that a cracker had gained user-level access to one of the servers that powers wordpress.org, and had used that access to modify the download file. We have locked down that server for further forensics, but at this time it appears that the 2.1.1 download was the only thing touched by the attack. They modified two files in WP to include code that would allow for remote PHP execution.

This is the kind of thing you pray never happens, but it did and now we’re dealing with it as best we can. Although not all downloads of 2.1.1 were affected, we’re declaring the entire version dangerous and have released a new version 2.1.2 that includes minor updates and entirely verified files. We are also taking lots of measures to ensure something like this can’t happen again, not the least of which is minutely external verification of the download package so we’ll know immediately if something goes wrong for any reason.

Finally, we reset passwords for a number of users with SVN and other access, so you may need to reset your password on the forums before you can login again.
Moderatie-faq Wijzig weergave

Reacties (11)

Gelukkig zijn WP upgrades belachelijk simpel en dankzij de themes, plugins en widgets zal de layout bij 99% van alle sites hetzelfde blijven.

Verwachte duur upgrade: minder dan 5 minuten

Ik vraag me af hoe de cracker user access heeft weten te bemachtigen. Zal wel een gekraakte account zijn, daar valt denk ik niet tegen te beveiligen. Wel raar dat de code niet eerst is gevalideerd door derden voordat deze werd meegenomen in de release.
Wat ik begreep is dat de SVN-repository (waar de code in staat) helemaal niet veranderd is door de cracker, maar dat hij simpelweg de zip/tar die gebruikers downloaden heeft aangepast. Vandaar dat hij die code-controle omzeild heeft.
your files may include a security exploit that was added by a cracker
bah, akelig!
één van de gevaren van open source?
Ook commerciele software die per download wordt aageboden kan aangepast zijn door iemand. Meer dan toegang tot de server heb je in feite niet nodig.

Misschien eens tijd dat ze hashes/signatures gaan gebruiken. Dan kan je iig als gebruiker de download nog verifieren.
Als je dan als hacker toegang hebt tot de server kan je toch evengoed die hashes veranderen.
Nee, dat heeft hier helemaal niets mee te maken :)
Is er ook een changelog beschikbaar?
Geen zin om weer alles naar mijn server te uploaden.
Doe liever die paar losse files.
If you are a web host or network administrator, block access to “theme.php” and “feed.php”, and any query string with “ix=” or “iz=” in it. If you’re a customer at a web host, you may want to send them a note to let them know about this release and the above information.
Ik denk dat het om twee bestanden gaat
Heb nog even gezocht: http://markjaquith.wordpress.com/
Blijkbaar ontkom je er niet aan voor deze update.
Mja, dus? Liever het zekere voor het onzekere lijkt me. En van die 20 files uploaden ga je echt niet dood hoor :z
Wow, dit is toch significant voor opensource software. Ik had al vaker gehoord dat zulke dingen gebeuren maar Wordpress is toch een grote jongen op weblog-gebied. Heel doelbewust zo'n kraak zetten is toch wel heel laag.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True