document/TranslateProject
2
0
Fork 0
mirror of https://github.com/LCTT/TranslateProject.git synced 2025-01-25 23:11:02 +08:00
Code Issues Packages Projects Releases Wiki Activity

PUB:20150131 WordPress Can Be Used to Leverage Critical Ghost Flaw in Linux

Browse Source 
@zpl1025
This commit is contained in:
wxy 2015-03-15 23:50:50 +08:00
parent 957e248741
commit a1afc414e3
1 changed files with 8 additions and 10 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

18
translated/news/20150131 WordPress Can Be Used to Leverage Critical Ghost Flaw in Linux.md → published/20150131 WordPress Can Be Used to Leverage Critical Ghost Flaw in Linux.md
View File

@ -1,24 +1,24 @@
WordPress可以用来触发Linux上的Ghost缺陷 WordPress 可以触发 Linux 上的 Ghost 缺陷
----- -----
*建议用户马上更新可用的补丁* *建议用户马上更新可用的补丁*
![WordPress validating pingbacks post URL](http://i1-news.softpedia-static.com/images/news2/WordPress-Can-Be-Used-to-Leverage-Critical-Ghost-Flaw-in-Linux-471730-2.jpg) ![WordPress validating pingbacks post URL](http://i1-news.softpedia-static.com/images/news2/WordPress-Can-Be-Used-to-Leverage-Critical-Ghost-Flaw-in-Linux-471730-2.jpg)
**这个漏洞于本周由Qualys的安全研究员发现并取了绰号叫[Ghost](1)可以利用WordPress或其他PHP应用来攻击网站服务器。** **这个漏洞之前由Qualys的安全研究员发现并取了绰号叫[Ghost](1)可以利用WordPress或其他PHP应用来攻击网站服务器。**
这个瑕疵是一个缓冲区溢出问题可以被攻击者触发用来获取Linux主机的命令行执行权限。发生在glibc的“__nss_hostname_digits_dots()”函数中它会被“gethostbyname()”函数用到。 这个瑕疵是一个缓冲区溢出问题可以被攻击者触发用来获取Linux主机的命令行执行权限。发生在glibc的“`__nss_hostname_digits_dots()`”函数中它会被“gethostbyname()”函数用到。
##PHP应用可以用来利用这个瑕疵 ###PHP应用可以用来利用这个瑕疵
Sucuri的Marc-Alexandre Montpas说之所以这个问题很重要是因为这些函数在大量软件和服务器系统使用。 Sucuri的Marc-Alexandre Montpas说之所以这个问题很重要是因为这些函数在大量软件和服务器系统使用。
“说这是个严重问题的一个例子是WordPress本身它使用一个叫wp_http_validate_url()的函数来验证每个pingback的发送URL它是通过PHP应用的“gethostbyname()”函数替代来执行的”,他在周三的一篇博客文章里写到。 “说这是个严重问题的一个例子是WordPress本身它使用一个叫`wp_http_validate_url()`的函数来验证每个pingback的发送URL它是通过PHP应用的“gethostbyname()”函数替代来执行的”,他在周三的一篇博客文章里写到。
攻击者可以用这种方式来引入一个设计用来触发服务器端漏洞的恶意URL从而获得系统访问权限。 攻击者可以用这种方式来引入一个设计用来触发服务器端漏洞的恶意URL从而获得系统访问权限。
实际上Trustwave的安全研究人员提供了[验证][2]代码可以使用WordPress的pingback功能引起缓冲区溢出。 实际上Trustwave的安全研究人员提供了[验证][2]代码可以使用WordPress的pingback功能引起缓冲区溢出。
##多个Linux发行版受到影响 ###多个Linux发行版受到影响
ghost漏洞存在于glibc 2.17以上版本中发布于2013年5月21日。glibc当前版本是2.20发布于2014年9月。 ghost漏洞存在于glibc 2.17以上版本中发布于2013年5月21日。glibc当前版本是2.20发布于2014年9月。
@ -32,15 +32,13 @@ Linux上存在漏洞的应用包括clockdiffping和arping在某些特定
-------------------------------------------------------------------------------- --------------------------------------------------------------------------------
via:http://news.softpedia.com/news/WordPress-Can-Be-Used-to-Leverage-Critical-Ghost-Flaw-in-Linux-471730.shtml via: http://news.softpedia.com/news/WordPress-Can-Be-Used-to-Leverage-Critical-Ghost-Flaw-in-Linux-471730.shtml
本文发布时间:30 Jan 2015, 17:36 GMT 本文发布时间:30 Jan 2015, 17:36 GMT
作者:[Ionut Ilascu][a] 作者:[Ionut Ilascu][a]
译者:[zpl1025](https://github.com/zpl1025) 译者:[zpl1025](https://github.com/zpl1025)
校对:[wxy](https://github.com/wxy)
校对:[校对者ID](https://github.com/校对者ID)
本文由 [LCTT](https://github.com/LCTT/TranslateProject) 原创翻译,[Linux中国](http://linux.cn/) 荣誉推出 本文由 [LCTT](https://github.com/LCTT/TranslateProject) 原创翻译,[Linux中国](http://linux.cn/) 荣誉推出