Matt Mullenweg, criador do software WordPress, anunciou ontem (2/03) no blog do projeto que o servidor de download foi comprometido e arquivos da versão 2.1.1 foram modificados. As modificações tornam a versão vulnerável a ataques que poderiam permitir a invasão dos servidores onde ela for instalada. A versão modificada ficou online por 3 ou 4 dias e a atualização para a versão 2.1.2 é altamente recomendada.

Mullenweg explica que uma nota questionando sobre um código estranho e inseguro chegou na lista de discussão do projeto na manhã desta sexta-feira (2/03). Uma verificação confirmou que o código havia sido colocado por algum invasor somente nos servidores de download, pois o código não existia no SVN (onde os desenvolvedores do WordPress guardam o código original).

O código adicionado ao WordPress pode permitir que um servidor ou site seja comprometido. Ele dá uma “porta dos fundos” a um invasor, para que este consiga acesso aos sites que possuem WordPress instalado sem precisar explorar uma falha de segurança legítima do programa. Ainda não se sabe como o invasor conseguiu acesso aos servidores de download do WordPress.

Nem todos os downloads da versão 2.1.1 possuem o código problemático. A versão foi lançada dia 21 de fevereiro e a invasão só teria ocorrido por volta de uma semana depois. Mesmo assim, Mullenweg recomenda que todos os usuários da versão 2.1.1 atualizem para a versão 2.1.2, que também corrige uma falha de XSS (Cross-site Scripting). Downloads da série 2.0 não foram afetados.

O WordPress é um software eficiente e popular para a criação de blogs. A Linha Defensiva também o utiliza para gerenciar o conteúdo do site. De acordo com Mullenweg, os downloads agora serão checados periodicamente para que qualquer alteração seja rapidamente identificada.

Em setembro de 2002, fato semelhante ocorreu com o servidor de e-mail Sendmail. Um arquivo foi alterado para incluir código malicioso que dava ao invasor o controle total dos sistemas onde a versão modificada fosse instalada.

MD5

É possível verificar a autenticidade de um download caso ele acompanhe um hash MD5. Um programa como o md5summer pode ser utilizado para calcular o MD5 e este valor pode então ser comparado com o valor do arquivo original. O WordPress disponibiliza os valores MD5 dos arquivos que oferece para download, facilitando esta verificação.

Escrito por Altieres Rohr

Editor da Linha Defensiva.

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair /  Alterar )

Foto do Google

Você está comentando utilizando sua conta Google. Sair /  Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair /  Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair /  Alterar )

Conectando a %s

Este site utiliza o Akismet para reduzir spam. Saiba como seus dados em comentários são processados.