WordPressプラグイン「WP-Slimstat」に致命的な脆弱性、暗号化パスワード漏洩の危険も 7
ストーリー by hylom
人気プラグインのようですが 部門より
人気プラグインのようですが 部門より
あるAnonymous Coward 曰く、
「WP-Slimstat」というWordPressプラグインに脆弱性があることが発覚した。SQLインジェクション攻撃によって暗号化されたパスワードや暗号化キーといったデータが外部から参照される危険性があるという(Ars Technica)。
問題が発見されたのはWP-Slimstat 3.9.5以下。3.9.6ではこの問題は修正されているという(Securi Blog)。
このプラグインはサイトのアクティビティやサーバーのレイテンシといった情報をレポートする統計ツール。サーバーとエンドユーザー間でのデータのやり取りを行う際、「プラグインをインストールしたタイムスタンプのMD5ハッシュ」という容易に推測できる鍵を使っていたのが問題だという。
Linuxでサバだから安全 (スコア:0)
というのが、彼の口癖だった。
Re: (スコア:0)
少なくともかつてのPHPはセキュリティがヤバい、っていうのは以前から言われていましたよ(今はかなりがんばってるらしい)。
OSS信者がアンフェアなのは、Microsoft製品の脆弱性はひとまとめにしてMicrosoft製品すべての問題であるかのように騒ぎ立てるくせに、
OSS製品の場合は個別の問題だと主張するところ。
連中がOSSは安全と主張するとき、PHPのことは都合よく除外されているが、ASP.NETに脆弱性が見つかれば、それはWindowsの問題なのだ。
Re: (スコア:0)
> PHPのセキュリティがヤバい
ことが、今回関係あったのか?
Re: (スコア:0)
普通にタイム値をシードにmd5パスって言語関係ないわな
うん、新人時代やって上司に怒られた。
Re: (スコア:0)
Wordpressはphpフレームワークなんだが
Re: (スコア:0)
サバだって 当たるときは当たる [osaka.jp] んですよ。
FREAKの脆弱性の方がもっと酷い。 (スコア:0)
FREAKの脆弱性の方がもっと酷い。
創価学会員で構成された赤系である日本の公安警察が、ここぞとばかりに日本企業に対して反日活動サイバーテロを仕掛けているらしい。被害に遭った企業はパナソニック、東芝、富士通、Dell、いずれもノートPCで発火したり、モニターの画面が真っ暗になりマザーボードやバックライトが破壊されたりしているそうだ。
赤公務員は日本の中枢、行政、警察にすら入り込んでいるので恐ろしい。