Aufklarung Playground

Oppss, lerlambat lage , tanggal 22 November Blogsecurity.net menginformasikan bahwa terdapat bugs baru yang sialnya Wordpress juga kena, yaitu Wordpress Cookie Authentication Vulnerability, yang memungkinkan seorang attacker ‘tuk mendapatkan akses selevel admin (tanpa menggunakan teknik brute force sekalipun) jikalau sang attacker tersebut mampu mengakses dan/atau membaca databases (baca: dengan akses read-only sekalipun, opps !) atau setidaknya via bakcup-an databases Wordpress, wow …Bugs ini berhasil ditemukan oleh Steven J. Murdoch pada 19 November 2007 lalu.

Tapi, tunggu dulu vulnerability ini ga’ cuma berlaku di WP ajah, namun berlaku juga banyak aplikasi. Tentang memungkinkannya seorang attacker tetap bisa meng-generate login cookie yang valid karna bugs ini, meskipun akses ke databases hanya sebatas read-only ajah, dipertanyakan oleh David Kierznowski yang memposting info bugs ini di web Blogsecurity.net , kenapa? karna menurut om David Kierznowski ini, seharusnya kalau aksesnya si attacker tsb di databases cuma sebatas read-only ajah, so akses ke yang lainpun read-only pula. Artinya, si attacker tsb belom bisa dikatakan mampu mendapatkan login yang valid setara admin, apalagi tanpa pake serangan brute force.

Info lebih lengkap silahkan samperin ke bagian advisories-nya.