Malware อันนี้น่ากลัวสำหรับคนใช้ WordPress api.wordpress.com มีช่องโหว่ของเซิร์ฟเวอร์ ยิงเว็บเราได้

MindPHP News แนะนำ ข่าวสาร บทความ โปรแกรม ที่เขียน ด้วย ภาษา ต่างๆ ที่ออกใหม่ หรือ ออกเวอร์ชั่นใหม่ๆ ทั้ง เทคโนโลยี IT โปรแกรมมิ่ง และรายงานปัญหาการใช้งาน บอร์ด Mindphp.com และ โปรแกรมคำนวณต่างๆ

Moderator: mindphp, ผู้ดูแลกระดาน

ภาพประจำตัวสมาชิก
mindphp
ผู้ดูแลระบบ MindPHP
ผู้ดูแลระบบ MindPHP
โพสต์: 41232
ลงทะเบียนเมื่อ: 22/09/2008 6:18 pm
ติดต่อ:

Malware อันนี้น่ากลัวสำหรับคนใช้ WordPress api.wordpress.com มีช่องโหว่ของเซิร์ฟเวอร์ ยิงเว็บเราได้

โพสต์ที่ยังไม่ได้อ่าน โดย mindphp »

Wordfence ผู้ให้บริการความปลอดภัยสำหรับ WordPress รายงานถึงช่องโหว่ของเซิร์ฟเวอร์
ผลทำให้เว็บ WordPress ถูก ผัง Malware แบบไม่รู้เนื้อรู้ตัวได้
Wordfence ผู้ให้บริการความปลอดภัยสำหรับ WordPress รายงานถึงช่องโหว่ของเซิร์ฟเวอร์ api.wordpress.com ที่มีช่องโหว่นำโค้ดขึ้นไปรันบนเซิร์ฟเวอร์ได้ จนกระทั่งแฮกเกอร์สามารถสั่งเว็บ WordPress ทั่วโลกให้อัพเดตซอฟต์แวร์ที่มุ่งร้ายได้

ช่องโหว่นี้เริ่มต้นจากโค้ด webhook ของ WordPress ที่ใช้เชื่อมต่อไปยัง GitHub โดยเมื่อรับค่าจาก GitHub แล้วจะสั่ง shell_exec แม้ว่าจะมีการตรวจค่าแฮชเพื่อยืนยันว่าข้อมูลมาจาก GitHub แต่ตัว webhook กลับยอมรับค่าแฮชแบบอื่น เช่น crc32 และ adler32 ทั้งที่ GitHub จะส่งค่าแฮชเฉพาะ SHA1 เท่านั้น ทำให้ทาง Wordfence สามารถปลอมค่าแฮช

ทาง Wordfence รายงานช่องโหว่นี้ไปยัง WordPress ตั้งแต่วันที่ 2 กันยายนที่ผ่านมา และโค้ดที่แก้ไขแล้วเปิดเผยในวันที่ 7 กันยายน คาดว่าโค้ดจริงบนเซิร์ฟเวอร์ของ WordPress น่าจะแก้ไขไปก่อนหน้านั้น

ทาง Wordfence ได้รับเงินรางวัลจากการแก้ไขช่องโหว่เมื่อเดือนตุลาคมที่ผ่านมา
ที่มา
https://www.blognone.com
https://www.wordfence.com/
ติดตาม VDO: http://www.youtube.com/c/MindphpVideoman
ติดตาม FB: https://www.facebook.com/pages/MindphpC ... 9517401606
หมวดแชร์ความรู้: https://www.mindphp.com/forums/viewforum.php?f=29
รับอบรม และพัฒนาระบบ: https://www.mindphp.com/forums/viewtopic.php?f=6&t=2042
ภาพประจำตัวสมาชิก
mindphp
ผู้ดูแลระบบ MindPHP
ผู้ดูแลระบบ MindPHP
โพสต์: 41232
ลงทะเบียนเมื่อ: 22/09/2008 6:18 pm
ติดต่อ:

Re: Malware อันนี้น่ากลัวสำหรับคนใช้ WordPress api.wordpress.com มีช่องโหว่ของเซิร์ฟเวอร์ ยิงเว็บเราได้

โพสต์ที่ยังไม่ได้อ่าน โดย mindphp »

ข้อมูเชิงลึก มีช่องโหว่ที่ โค้ดตรงไหนดูกันได้ที่
https://www.wordfence.com/blog/2016/11/ ... to-update/
ติดตาม VDO: http://www.youtube.com/c/MindphpVideoman
ติดตาม FB: https://www.facebook.com/pages/MindphpC ... 9517401606
หมวดแชร์ความรู้: https://www.mindphp.com/forums/viewforum.php?f=29
รับอบรม และพัฒนาระบบ: https://www.mindphp.com/forums/viewtopic.php?f=6&t=2042
ตอบกลับโพส
  • Similar Topics
    ตอบกลับ
    แสดง
    โพสต์ล่าสุด

ผู้ใช้งานขณะนี้

สมาชิกกำลังดูบอร์ดนี้: ไม่มีสมาชิกใหม่ และบุคลทั่วไป 77