WordPress 自动更新服务器存漏洞，全球 27% 网站可被恶意更新

WordPress 核心更新服务器存在漏洞，允许攻击者入侵服务器并替换更新内容，受影响站点将占全球网站的 27% 。该漏洞于 9 月 2 日提交给了 WordPress 开发方 Automattic ，Automattic 在 5 天后 9 月 7 日发布了更新修复了漏洞。漏洞存在于服务器 api.wordpress.org 内的 php webhook 中，它允许开发人员设置哈希算法来验证上传代码更新的合法性。然而 WordPress 开发人员 Matt Barry 发现该验证过程采用安全性较弱的 adler32 散列算法，这导致可能的排列组合由 43 亿个（ 2 的 32 次方）大幅缩减至 10 万到 40 万个。攻击者只需要数个小时即可暴力破解，获得开发者用来上传代码时使用的共享密钥，从而获得服务器访问权。

此后，攻击者可以制作一个含有后门的恶意更新下载链接，并替换 WordPress 更新服务器发送的用于更新的 URL 链接，该链接随即被推送到所有 WordPress 站点，因而，全球 27% 的网站都将受到影响。

Barry 称用于更新的 api.wordpress.org 服务是一个很可能被黑客利用的切入点，然而 Automattic 没有回应他提出的故障点讨论并更新认证机制的建议。这周在 OpenWall 安全邮件组讨论当中也有安全员提出了相似的攻击策略。

稿源：本站翻译整理，封面来源：百度搜索

from hackernews.cc.thanks for it.