2017.02.03

"실은 심각한 취약점 패치도 포함됐다"··· 워드프레스, 4.7.2 버전 정보 뒤늦게 공개

Lucian Constantin | IDG News Service
인증받지 않은 이가 게시물이나 페이지를 수정할 수 있었던 워드프레스 버그가 지난주 수정됐다. 그러나 개발진 측은 심각한 취약점이 패치됐다는 사실을 의도적으로 늦게 공표했다.

1월 26일 배포된 워드프레스 버전 4.7.2에 동반된 배포 노트에는 3종의 심각하지 않은 취약점만을 언급하고 있다. 이 중 하나는 워드프레스 플랫폼 핵심 코드에 영향을 주는 것조차 아니었다.

워드프레스 보안팀은 지난 1일에야 훨씬 더 심각한 수준이었던 네번째 취약점에 대해 공개했다.

이 취약점은 보안기업 수쿠리의 연구진이 발견해 1월 20일 워드프레스에 비공개적으로 통보된 것이다. 워드프레스 플랫폼의 REST API에 존재하는 이 취약점은 인증받지 않은 이가 워드프레스 사이트의 페이지나 게시물을 수정할 수 있는 가능성을 열어준다.

워드프레스 핵심 개발자 아론 캠벨은 1일 블로그 포스트를 통해 "투명성이란 공공의 이익에 있다고 본다. 보안 이슈는 반드시 숨겨져 있어야 한다는 것이 우리의 입장이다. 이번 경우 우리는 이슈를 의도적으로 1주일 동안 숨겼다. 수백 만 워드프레스 사이트의 안전을 보장하기 위해서였다"라고 말했다.

그는 이어 워드프레스 개발진이 취약점을 확인한 이후 주요 보안 기업과 공조한 한편, 거대 워드프레스 호스팅 기업과 접속해 방어 방안을 마련하도록 조치했다고 전했다.

한편 이번 취약점은 워드프레스 4.7과 4.7.1 버전에만 영향을 준다. 그보다 구형 버전에서는 REST API 플러그인이 있을지라도 영향 받지 않는다. 그러나 워드프레스는 전세계 수백만 웹사이트에서 널리 활용되고 있는 인기 콘텐츠 관리 플랫폼이기 해커들이 패치되지 않은 웹사이트를 뒤늦게나마 노릴 가능성이 있다. ciokr@idg.co.kr
 

2017.02.03

"실은 심각한 취약점 패치도 포함됐다"··· 워드프레스, 4.7.2 버전 정보 뒤늦게 공개

Lucian Constantin | IDG News Service
인증받지 않은 이가 게시물이나 페이지를 수정할 수 있었던 워드프레스 버그가 지난주 수정됐다. 그러나 개발진 측은 심각한 취약점이 패치됐다는 사실을 의도적으로 늦게 공표했다.

1월 26일 배포된 워드프레스 버전 4.7.2에 동반된 배포 노트에는 3종의 심각하지 않은 취약점만을 언급하고 있다. 이 중 하나는 워드프레스 플랫폼 핵심 코드에 영향을 주는 것조차 아니었다.

워드프레스 보안팀은 지난 1일에야 훨씬 더 심각한 수준이었던 네번째 취약점에 대해 공개했다.

이 취약점은 보안기업 수쿠리의 연구진이 발견해 1월 20일 워드프레스에 비공개적으로 통보된 것이다. 워드프레스 플랫폼의 REST API에 존재하는 이 취약점은 인증받지 않은 이가 워드프레스 사이트의 페이지나 게시물을 수정할 수 있는 가능성을 열어준다.

워드프레스 핵심 개발자 아론 캠벨은 1일 블로그 포스트를 통해 "투명성이란 공공의 이익에 있다고 본다. 보안 이슈는 반드시 숨겨져 있어야 한다는 것이 우리의 입장이다. 이번 경우 우리는 이슈를 의도적으로 1주일 동안 숨겼다. 수백 만 워드프레스 사이트의 안전을 보장하기 위해서였다"라고 말했다.

그는 이어 워드프레스 개발진이 취약점을 확인한 이후 주요 보안 기업과 공조한 한편, 거대 워드프레스 호스팅 기업과 접속해 방어 방안을 마련하도록 조치했다고 전했다.

한편 이번 취약점은 워드프레스 4.7과 4.7.1 버전에만 영향을 준다. 그보다 구형 버전에서는 REST API 플러그인이 있을지라도 영향 받지 않는다. 그러나 워드프레스는 전세계 수백만 웹사이트에서 널리 활용되고 있는 인기 콘텐츠 관리 플랫폼이기 해커들이 패치되지 않은 웹사이트를 뒤늦게나마 노릴 가능성이 있다. ciokr@idg.co.kr
 

X