DoS na najnowszego WordPressa
Adam Haertle dodał 11 czerwca 2013 o 21:32 w kategorii Drobiazgi
z tagami: DoS • Krysztof Katowicz-Kowalewski • Polska • Wordpress
Polski badacz Krzysztof „vnd” Katowicz-Kowalewski (nie mylić z Krzysztofem Kotowiczem) odnalazł błąd w funkcji crypt_private(), znajdującej się w pliku wp-includes/class-phpass.php. Odpowiednia manipulacja parametrem licznika może zmusić serwer do wykonania np. miliarda iteracji funkcji md5, wyczerpując zasoby procesora oraz pamięci maszyny. Wystarczy w tym celu wysyłać odpowiednio spreparowane ciasteczko w zapytaniu o wpis zabezpieczony hasłem.
Jeśli zatem nie publikujecie wpisów zabezpieczonych hasłami, to możecie spać spokojnie. Szczegółowy opis błędu wraz z przykładowym kodem go wykorzystującym znajdziecie na stronie Krzysztofa.
Podobne wpisy
- Kilka milionów loginów i haseł z Polski wyciekło do sieci
- Ataki rosyjskich szpiegów na polskie placówki dyplomatyczne wykryte i opisane przez CERT Polska i SKW
- ABW ocenzurowało stronę publikującą e-maile rządu ze skrzynki pocztowej ministra Dworczyka
- 25 miejsc, gdzie warto czytać po polsku o bezpieczeństwie
- To Białorusini, nie Rosjanie, stoją za atakiem na skrzynki pocztowe polskich polityków (i nie tylko)
Brawo! ;) oby więcej sukcesów!
dzięki za podlinkowanie ;)
Trzeba promować polską myśl techniczną :)
Wystarczy, że firma ma swoich klientów w sandboxach o określonych parametrach, to co najwyżej jedno konto dostanie 503 a nie cała maszyna :)