Ghost glibc vulnerability en WordPress


Afgelopen week vonden onderzoekers van het in Californië gebaseerde beveiligingsbedrijf Qualys een bug in de GNU C library. Een veel gebruikt onderdeel van de meeste linux distributies. De onderzoekers kwamen tot de conclusie dat zeer veel PHP applicatie waaronder WordPress, Drupal en Joomla.

De security issue is er één waar hosting providers actie op moeten ondernemen aangezien het gaat om een server side library. Deze library wordt gebruikt in bijna alle Linux distributies, Red Hat, Debian en Ubuntu hebben al updates uitgebracht om het security issue op te lossen.

Gebruikt je hosting provider Debian 7, Red Hat Enterprise Linux 6 en 7, CentOS 6 en 7 of Ubuntu 12.04 dan zijn er dus updates voor je hoster beschikbaar heb je een VPS of dedicated server die niet gemanaged wordt door je hoster dan kan je op de onderstaande manier zelf kijken of je server met het beveiligings lek zit.

php -r '$e="0″;for($i=0;$i<2500;$i++){$e="0$e";} gethostbyname($e);' Segmentation fault

Ghost en WordPress:

Volgens Sucuri onderzoeker Marc-Alexandre Montpas, GHOST vulnerability kan dit security gat een grote impact hebben voor WordPress. In WordPress wordt voor elke Pingback posy gebruik gemaakt van wp_http_validate_url().

“…. en gebruikt hiervoor gethostbyname(),” schreef Montpas afgelopen woensdag. “Dus een aanvaller kan van dit gat gebruikmaken door een malafide URL via de pingback naar uw site te sturen. Dit zou een buffer overflow bug genereren, server side en kan dan gebruikt worden om de server te hacken.”

Onze extra waarschuwing:

  • Schakel XML-RPC uit:
    Als je geen gebruik maakt van de XML-RPC op je site, schakel het gewoon uit. Hier zijn in de wordpress repository zelfs plug-ins te vinden.
  • Schakel pingback requests uit:
    Met onderstaande code (die je kan toevoegen in functions.php) kan je de ook de pingback functie volledig uitschakelen.

    add_filter( 'xmlrpc_methods' , function( $methods' ) { unset( $methods[ 'pingback.ping ] ); return $methods; } );


 

Previous Waar vinden we de beste Design deals
Next Hoe kunt u de prestaties van een WordPress site verbeteren?