✔Уязвимость в WordPress 2.1.1 - «Интернет»

03 марта 2007 886 Новости / Новости мира Интернет 0

Разработчики популярного блог-движка WordPress предупреждают:

Если Вы в последние несколько дней загружали с сайта wordpress.org копию WordPress 2.1.1, Ваши файлы могут содержать "дыру", оставленную взломщиком. Вам срочно необходимо обновить версию WordPress до 2.1.2

В разъяснении говорится, что после получения сообщений от пользователей, разработчики проверили опубликованные на сайте файлы и обнаружили, что дистрибутив версии 2.1.1 был изменен и отличается от оригинала. Выяснилось, что некий взломщик получил доступ к серверу, обслуживающему wordpress.org, и подменил два файла ("theme.php" и "feed.php") в дистрибутиве, добавив туда возможность для удаленного выполнения PHP-кода (т.е. дыру). Изменению подвергся только дистрибутив версии 2.1.1, остальные остались нетронутыми.
Отмечается, что пользователей, получающие обновления через SVN, данный инцидент не затронул – репозиторий не был подвержен изменениям – и они могут не волноваться.

В связи с этим, команда разработчиков публикует версию 2.1.2 дистрибутива с проверенными и безопасными файлами, а так же небольшими доработками. Обещано, что будут предприняты все меры для того, чтобы избежать подобных инцедентов в будущем, в том числе и посредством постоянной внешней проверки опубликованных дистрибутивов на предмет их подмены.

Разработчики популярного блог-движка WordPress предупреждают: Если Вы в последние несколько дней загружали с сайта wordpress.org копию WordPress 2.1.1, Ваши файлы могут содержать "дыру", оставленную взломщиком. Вам срочно необходимо обновить версию WordPress до 2.1.2 В разъяснении говорится, что после получения сообщений от пользователей, разработчики проверили опубликованные на сайте файлы и обнаружили, что дистрибутив версии 2.1.1 был изменен и отличается от оригинала. Выяснилось, что некий взломщик получил доступ к серверу, обслуживающему wordpress.org, и подменил два файла ("theme.php" и "feed.php") в дистрибутиве, добавив туда возможность для удаленного выполнения PHP-кода (т.е. дыру). Изменению подвергся только дистрибутив версии 2.1.1, остальные остались нетронутыми. Отмечается, что пользователей, получающие обновления через SVN, данный инцидент не затронул – репозиторий не был подвержен изменениям – и они могут не волноваться. В связи с этим, команда разработчиков публикует версию 2.1.2 дистрибутива с проверенными и безопасными файлами, а так же небольшими доработками. Обещано, что будут предприняты все меры для того, чтобы избежать подобных инцедентов в будущем, в том числе и посредством постоянной внешней проверки опубликованных дистрибутивов на предмет их подмены.