Aktualizujcie WordPressa. Teraz

dodał 21 listopada 2014 o 10:40 w kategorii Błędy, Drobiazgi  z tagami:

Jeśli ciągle korzystacie z WordPressa 4.0, to albo włączcie automatyczne aktualizacje, albo szybko aktualizujcie do wersji 4.0.1. A jeśli macie wersję 3.x, to aktualizujcie jeszcze szybciej – błąd XSS w niej istniejący można dość łatwo zamienić w wykonanie kodu po stronie serwera i jest najpoważniejszą dziurą wykrytą w ostatnich latach.

WordPress 4.0.1 usuwa liczne błędy, w tym możliwość ataku DDoS poprzez próby logowania z bardzo długim hasłem, doprowadzające do wyczerpania zasobów maszyny (wiele miesięcy temu prawie identyczny błąd wykryto w innych CMSach – ktoś pamięta jakich? w Django). Oprócz tego załatane zostało kilka błędów typu XSS oraz ciekawa potencjalna kolizja funkcji skrótu hasła, mogąca wystąpić pod warunkiem że użytkownik nie logował się od… 2008 roku.

Dużo ważniejszy i ciekawszy jest jednak błąd XSS występujący we wszystkich starszych wersjach (3.x), który pozwala atakującemu na wstrzyknięcie kodu JavaScript do komentarza (poprzez umiejętne ominięcie błędnie skonfigurowanego filtra kodu HTML) a w konsekwencji na przejęcie kontroli nad blogiem w momencie, gdy administrator zaloguje się do swojej konsoli. Atak można przeprowadzić w sposób niewidoczny dla administratora, usuwając zmodyfikowany komentarz w momencie rozpoczęcia ataku. Na stronie autora tego odkrycia znajdziecie bardzo szczegółowe wyjaśnienie błędu.

wp