Aucune CSPRNG apporte des risques à tous les sites WordPress

Aucune CSPRNG apporte des risques à tous les sites WordPress

Merci de l'absence de CSPRNG (déchiffré comme pseudo cryptographique sécurisé générateur de nombres), un site Web existant WordPress est maintenant à risque des attaquants. Il faut dire qu'il ya un patch; Cependant plus de travail est nécessaire pour qu'il puisse être réellement viable.

Le CSPRNG générateur est un mécanisme qui produit des nombres aléatoires sur l'ordinateur qui pourrait être utilisé pour la cryptographie, par exemple la génération d'une clé ou des sels. Ces chiffres sont en effet pseudo-aléatoire, que la chaîne vraiment aléatoire peut être produit qu'à un niveau théorique

Ce bug a été découvert par Scott Arciszewski, un programmeur web à partir de Orlando, Floride. M. Arciszewski informé les responsables de WordPress dont ils ont besoin pour créer un mécanisme de CSPRNG dans la plate-forme afin que pour éliminer la moindre chance de quelqu'un pour prédire le jeton qui est appliqué pour réinitialiser les mots de passe. Selon le programmeur web tous ceux qui sont en mesure de réaliser ce sera en mesure de prendre en charge les sites WordPress vulnérables. Actuellement, il n'y a aucune preuve d'un tel procédé d'être disponible pour accomplir cette.

Scott Arciszewski a essayé de mettre cette question aux mainteneurs de WordPress à plusieurs reprises, étant sur la conférence WordCamp Orlando porté sur la façon WordPress peut être utilisé plus efficacement. Le programmeur offre également un correctif pour le problème, créé par lui, qui doit être intégré dans WordPress.

Actuellement, WordPress est utilisée par plus de 75 millions de sites Web, mais les cybercriminels pourraient ne pas être incités à se pencher sur le problème en raison de la complexité de la création d'un exploit.