Błąd w TWiki

Jak informuje US-CERT, oprogramowanie TWiki może posłużyć do wykonania szkodliwego kodu na komputerze ofiary. Wszystkie wersje do 4.2.2 włącznie zawierają błąd.

Problemem jest skrypt twiki/bin/configure. Jeśli nie został on zabezpieczony podczas instalacji tak, jak zalecono to w poradniku TWiki, to atakujący może wykonać skrypt i wykorzystać go do swoich potrzeb. Twórcy TWiki załatali już błąd i opublikowali poprawioną wersję 4.2.3.

US-CERT przestrzega, że w Sieci udostępniono już szkodliwy kod pozwalający na zaatakowanie TWiki, więc użytkownicy tego oprogramowania powinni jak najszybciej zainstalować najnowszą wersję.

Jeśli nie mogą tego zrobić, powinni zastosować poprawioną edycję skryptu konfiguracyjnego.

Źródło: ArcaBit