Ingen CSPRNG Bringer Risiko på Alle WordPress Websites

Ingen CSPRNG Bringer Risiko på Alle WordPress Websites

Takket være den manglende CSPRNG (tydet som kryptografisk sikker pseudorandom nummer generator), enhver WordPress website eksisterende nu truet af angribere. Det skal siges, at der er en patch; dog mere arbejde er der behov for, så det kan være virkelig levedygtig.

Generatoren CSPRNG er en mekanisme, som frembringer tilfældige tal på den computer, der kan anvendes til kryptering, for eksempel genererer en nøgle eller salte. Disse tal er i virkeligheden pseudorandom, som den virkelig tilfældig streng kun kan produceres på et teoretisk niveau

Denne fejl blev opdaget af Scott Arciszewski, en web-programmør fra Orlando, Florida. Hr. Arciszewski informerede vedligeholdere af WordPress, som de har brug for at oprette en CSPRNG mekanisme i platformen, så at fjerne selv den mindste chance for nogen til at forudsige token, som anvendes til nulstilling af adgangskoder. Ifølge web-programmør alle, der er i stand til at nå dette vil være i stand til at overtage de sårbare WordPress websites. I øjeblikket, der er ingen beviser for en sådan metode til at være til rådighed til at udføre det.

Scott Arciszewski har forsøgt at bringe dette spørgsmål til vedligeholdere af WordPress ved flere lejligheder, ene er på konferencen WordCamp Orlando fokus på, hvordan WordPress kan bruges mere effektivt. Programmøren tilbyder også en løsning på det problem, skabt af ham, som skal integreres i WordPress.

I øjeblikket, WordPress bliver brugt af mere end 75 million websites, men cyberkriminelle måske ikke blive lokket til at undersøge problemet på grund af kompleksiteten i at skabe en udnytte.