パスワードを忘れた? アカウント作成
11940130 story
セキュリティ

WordPressプラグイン「WP-Slimstat」に致命的な脆弱性、暗号化パスワード漏洩の危険も 7

ストーリー by hylom
人気プラグインのようですが 部門より
あるAnonymous Coward 曰く、

WP-Slimstat」というWordPressプラグインに脆弱性があることが発覚した。SQLインジェクション攻撃によって暗号化されたパスワードや暗号化キーといったデータが外部から参照される危険性があるという(Ars Technica)。

問題が発見されたのはWP-Slimstat 3.9.5以下。3.9.6ではこの問題は修正されているという(Securi Blog)。

このプラグインはサイトのアクティビティやサーバーのレイテンシといった情報をレポートする統計ツール。サーバーとエンドユーザー間でのデータのやり取りを行う際、「プラグインをインストールしたタイムスタンプのMD5ハッシュ」という容易に推測できる鍵を使っていたのが問題だという。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2015年02月27日 15時47分 (#2768799)

    というのが、彼の口癖だった。

    • by Anonymous Coward

      少なくともかつてのPHPはセキュリティがヤバい、っていうのは以前から言われていましたよ(今はかなりがんばってるらしい)。

      OSS信者がアンフェアなのは、Microsoft製品の脆弱性はひとまとめにしてMicrosoft製品すべての問題であるかのように騒ぎ立てるくせに、
      OSS製品の場合は個別の問題だと主張するところ。
      連中がOSSは安全と主張するとき、PHPのことは都合よく除外されているが、ASP.NETに脆弱性が見つかれば、それはWindowsの問題なのだ。

      • by Anonymous Coward

        > PHPのセキュリティがヤバい
        ことが、今回関係あったのか?

        • by Anonymous Coward

          普通にタイム値をシードにmd5パスって言語関係ないわな

          うん、新人時代やって上司に怒られた。

    • by Anonymous Coward

      Wordpressはphpフレームワークなんだが

    • by Anonymous Coward

      サバだって 当たるときは当たる [osaka.jp] んですよ。

  • by Anonymous Coward on 2015年03月08日 16時35分 (#2773962)

    FREAKの脆弱性の方がもっと酷い。
    創価学会員で構成された赤系である日本の公安警察が、ここぞとばかりに日本企業に対して反日活動サイバーテロを仕掛けているらしい。被害に遭った企業はパナソニック、東芝、富士通、Dell、いずれもノートPCで発火したり、モニターの画面が真っ暗になりマザーボードやバックライトが破壊されたりしているそうだ。
    赤公務員は日本の中枢、行政、警察にすら入り込んでいるので恐ろしい。

typodupeerror

最初のバージョンは常に打ち捨てられる。

読み込み中...