Matt Mullenweg, criador do software WordPress, anunciou ontem (2/03) no blog do projeto que o servidor de download foi comprometido e arquivos da versão 2.1.1 foram modificados. As modificações tornam a versão vulnerável a ataques que poderiam permitir a invasão dos servidores onde ela for instalada. A versão modificada ficou online por 3 ou 4 dias e a atualização para a versão 2.1.2 é altamente recomendada.

Mullenweg explica que uma nota questionando sobre um código estranho e inseguro chegou na lista de discussão do projeto na manhã desta sexta-feira (2/03). Uma verificação confirmou que o código havia sido colocado por algum invasor somente nos servidores de download, pois o código não existia no SVN (onde os desenvolvedores do WordPress guardam o código original).

O código adicionado ao WordPress pode permitir que um servidor ou site seja comprometido. Ele dá uma “porta dos fundos” a um invasor, para que este consiga acesso aos sites que possuem WordPress instalado sem precisar explorar uma falha de segurança legítima do programa. Ainda não se sabe como o invasor conseguiu acesso aos servidores de download do WordPress.

Nem todos os downloads da versão 2.1.1 possuem o código problemático. A versão foi lançada dia 21 de fevereiro e a invasão só teria ocorrido por volta de uma semana depois. Mesmo assim, Mullenweg recomenda que todos os usuários da versão 2.1.1 atualizem para a versão 2.1.2, que também corrige uma falha de XSS (Cross-site Scripting). Downloads da série 2.0 não foram afetados.

O WordPress é um software eficiente e popular para a criação de blogs. A Linha Defensiva também o utiliza para gerenciar o conteúdo do site. De acordo com Mullenweg, os downloads agora serão checados periodicamente para que qualquer alteração seja rapidamente identificada.

Em setembro de 2002, fato semelhante ocorreu com o servidor de e-mail Sendmail. Um arquivo foi alterado para incluir código malicioso que dava ao invasor o controle total dos sistemas onde a versão modificada fosse instalada.

MD5

É possível verificar a autenticidade de um download caso ele acompanhe um hash MD5. Um programa como o md5summer pode ser utilizado para calcular o MD5 e este valor pode então ser comparado com o valor do arquivo original. O WordPress disponibiliza os valores MD5 dos arquivos que oferece para download, facilitando esta verificação.

Anúncios

Escrito por Altieres Rohr

Jornalista e tradutor. Editor dos sites Linha Defensiva e Garagem 42 e colunista de Segurança Digital no portal G1 da Rede Globo.

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s