Κενό ασφαλείας στο Yoast SEO

WordPress Plugins

Συντονιστές: WebDev Moderators, Super-Moderators, PHP Moderators

Απάντηση
geomagas
Δημοσιεύσεις: 667
Εγγραφή: 06 Απρ 2013 13:36
Τοποθεσία: Ηράκλειο Κρήτης
Επικοινωνία:

Κενό ασφαλείας στο Yoast SEO

Δημοσίευση από geomagas » 13 Μαρ 2015 12:08

Κι όμως, ακόμα κι ένα plugin με πάνω από ένα εκατομμύριο εγκαταστάσεις μπορεί να έχει τρύπες!

Προχθές ανακαλύφθηκε κενό ασφαλείας που επιτρέπει blind sql injection. Ο Joost έβγαλε επείγουσα αναβάθμιση (1.7.4) που καλύπτει το κενό.

Αν και το πιθανότερο είναι να έχετε αναβαθμιστεί αυτόματα στην 1.7.4, αν έχετε μικρότερη έκδοση από αυτή, αναβαθμίστε άμεσα.

Περισσότερα.

Άβαταρ μέλους
burnmind
Script Master
Δημοσιεύσεις: 954
Εγγραφή: 26 Σεπ 2009 02:14
Τοποθεσία: UK
Επικοινωνία:

Κενό ασφαλείας στο Yoast SEO

Δημοσίευση από burnmind » 13 Μαρ 2015 14:13

Όντως, τέτοια προβλήματα μπορεί να εμφανιστούν σε οποιοδήποτε σύστημα. Το σημαντικό είναι η άμεση αντιμετώπισή τους, κάτι που σύμφωνα με τις λεπτομέρειες που αναφέρονται στο άρθρο σου (αυτόματη ανανέωση του plugin με τη βοήθεια του ίδιου του WordPress) πραγματοποιήθηκε εξαιρετικά.

geomagas
Δημοσιεύσεις: 667
Εγγραφή: 06 Απρ 2013 13:36
Τοποθεσία: Ηράκλειο Κρήτης
Επικοινωνία:

Κενό ασφαλείας στο Yoast SEO

Δημοσίευση από geomagas » 13 Μαρ 2015 15:04

Ναι σίγουρα. Και αξίζουν συγχαρητήρια σε αμφότερους (Joost de Valk και WprdPress team) για τον τρόπο αντιμετώπισης. Όπως και στην ομάδα της WPScan.com, που πρώτα ειδοποίησε, περίμενε το bugfix και μετά το έκανε βούκινο. Έδρασαν πολύ επαγγελματικά.

Αυτό που με ξένισε είναι το παρακάτω:
Joost de Valk έγραψε:The values were escaped using esc_sql, which one would expect would prevent SQL injection. It does not.
Of course it does not! Ποιος είπε ότι it does;;;

Αλλά φαντάζομαι το είπε πάνω στον πανικό του... :P

Άβαταρ μέλους
CyberCr33p
Honorary Member
Δημοσιεύσεις: 3194
Εγγραφή: 06 Νοέμ 1999 01:00
Τοποθεσία: Αθήνα
Επικοινωνία:

Κενό ασφαλείας στο Yoast SEO

Δημοσίευση από CyberCr33p » 13 Μαρ 2015 17:23

Χτες είχα στείλει και εγώ μήνυμα στους πελάτες μου για να αναβαθμίσουν όσοι το χρησιμοποιούν.

alou
Script Master
Δημοσιεύσεις: 1374
Εγγραφή: 24 Αύγ 2007 19:52
Επικοινωνία:

Κενό ασφαλείας στο Yoast SEO

Δημοσίευση από alou » 13 Μαρ 2015 18:16

Μια και δεν έχω πολυασχοληθεί με WP, έχω μια απορία:
geomagas έγραψε: Αν και το πιθανότερο είναι να έχετε αναβαθμιστεί αυτόματα στην 1.7.4, αν έχετε μικρότερη έκδοση από αυτή, αναβαθμίστε άμεσα.
όταν λες αυτόματα, εννοείς χωρίς έστω ένα promt όταν μπεις στη διαχείριση? χωρίς καν να μπει κάποιος στη διαχείριση? πως γίνεται trigger το update? γιατί αυτό ίσως ανοίγει άλλα θέματα :S

Άβαταρ μέλους
CyberCr33p
Honorary Member
Δημοσιεύσεις: 3194
Εγγραφή: 06 Νοέμ 1999 01:00
Τοποθεσία: Αθήνα
Επικοινωνία:

Κενό ασφαλείας στο Yoast SEO

Δημοσίευση από CyberCr33p » 13 Μαρ 2015 18:27

Μάλλον εννοεί να κάνεις την αναβάθμιση μέσω του admin panel του wordpress. Πάντως στο wordpress γίνονται αυτόματα αναβαθμίσεις της ίδιας σειράς του ίδιου του wordpress. Έτσι δεν υπάρχουν προβλήματα να "σπάσει" κάτι από αλλαγή στην έκδοση.

geomagas
Δημοσιεύσεις: 667
Εγγραφή: 06 Απρ 2013 13:36
Τοποθεσία: Ηράκλειο Κρήτης
Επικοινωνία:

Κενό ασφαλείας στο Yoast SEO

Δημοσίευση από geomagas » 13 Μαρ 2015 19:19

CyberCr33p έγραψε:Χτες είχα στείλει και εγώ μήνυμα στους πελάτες μου για να αναβαθμίσουν όσοι το χρησιμοποιούν.
Ναι, το λάβαμε! :D
Εγώ απλά (εντελώς τυχαία, ψάχνοντας για κάτι άλλο) έπεσα πάνω σε αυτό, κι έτσι έτυχε να ενημερωθώ ελαφρώς νωρίτερα.
alou έγραψε:Μια και δεν έχω πολυασχοληθεί με WP, έχω μια απορία:
geomagas έγραψε: Αν και το πιθανότερο είναι να έχετε αναβαθμιστεί αυτόματα στην 1.7.4, αν έχετε μικρότερη έκδοση από αυτή, αναβαθμίστε άμεσα.
όταν λες αυτόματα, εννοείς χωρίς έστω ένα promt όταν μπεις στη διαχείριση? χωρίς καν να μπει κάποιος στη διαχείριση? πως γίνεται trigger το update? γιατί αυτό ίσως ανοίγει άλλα θέματα :S
Ακριβώς.

Από την 3.7 κι έπειτα, το wp υποστηρίζει Automatic Background Updates, έτσι ώστε κρίσιμες ενημερώσεις ασφαλείας (όπως η εν λόγω) να φτάνουν αυτόματα στο site σου όταν εσύ κάνεις σκι στο σαλέ. :P

Καταλαβαίνω την ανησυχία σου. Αυτό το feature έχει υπάρξει αμφιλεγόμενο από την πρώτη μέρα που εφαρμόστηκε. Σε κάθε περίπτωση, μπορεί κανείς να το απενεργοποιήσει μέσω ενός define() στο config.php, αλλά και προγραμματιστικά μέσω διαφόρων filters (πχ φτιάχνοντας ένα plugin που κάνει hook σε αυτά, να ρυθμίσει τη συμπεριφορά του feature).

alou
Script Master
Δημοσιεύσεις: 1374
Εγγραφή: 24 Αύγ 2007 19:52
Επικοινωνία:

Κενό ασφαλείας στο Yoast SEO

Δημοσίευση από alou » 13 Μαρ 2015 19:53

Ζντόινγκ... εντάξει, ποιός είμαι εγώ να κρίνω κάτι με αυτά τα μεγέθη αλλά σε ποιο πλανήτη δεν είναι τραγικό, με δεδομένο ότι ο μέσος χρήστης ούτε καν ξέρει ότι συμβαίνει και έχει τη δυνατότητα να το αποκλείσει, ένα automatic update για οποιοδήποτε λόγο να έχει τη δυνατότητα να κάνει κάτι στην εφαρμογή σου χωρίς να σε ρωτήσει ?!!!

Τη λογική που οδηγεί την ομάδα του WP να σκεφτεί έτσι την καταλαβαίνω απόλυτα, ο χρήστης που ξέρει και κάνει και τα updates, αν θέλει θα το απενεργοποιήσει. Οι άλλοι που είναι και το πιο πιθανό να μην κάνουν updates θα το φάνε θέλουν δε θέλουν. Έτσι ίσως το μισό internet πάψει να είναι ένα wordpress με malware που δεν τα προσέχει ο ιδιοκτήτης και κακολογούμε την πλατφόρμα.

Βάζω στοίχημα όμως ότι το πιο hot θέμα στους κύκλους που ασχολούνται με wp vulnerabilities είναι πως θα εκμεταλευτούν αυτή τη δυνατότητα και να κάνουν εκατομμύρια site π**τανα με τη μία :)

Και επειδή όλα γίνονται με το κατάλληλο κόστος σε ώρες και resources, κάποια στιγμή θα γίνει και αυτό και το αποτέλεσμα θα γυρίσει μπούμερανγκ.

Άβαταρ μέλους
CyberCr33p
Honorary Member
Δημοσιεύσεις: 3194
Εγγραφή: 06 Νοέμ 1999 01:00
Τοποθεσία: Αθήνα
Επικοινωνία:

Κενό ασφαλείας στο Yoast SEO

Δημοσίευση από CyberCr33p » 13 Μαρ 2015 20:01

Φιλοξενούμε χιλιάδες wordpress και μέχρι στιγμής δεν έχει αναφέρει κάποιος πελάτης ότι κάτι έχει σπάσει με τα αυτόματα updates του wordpress. Να αναφέρω ότι οι αναβαθμίσεις γίνονται μόνο στην ίδια σειρά. Δηλαδή από 4.1.1 να πάει σε 4.1.2 και όχι από 4.1.1 σε 4.2.

Εγώ θετικό το βρίσκω αυτό γιατί οι περισσότεροι δεν αναβαθμίζουν από μόνοι τους. Σκέψου ότι ανά διαστήματα στέλνουμε αυτόματα e-mails σε όσους έχουν παλιές εκδόσεις σε Wordpress και Joomla και ακόμα και τότε δεν αναβαθμίζουν.

geomagas
Δημοσιεύσεις: 667
Εγγραφή: 06 Απρ 2013 13:36
Τοποθεσία: Ηράκλειο Κρήτης
Επικοινωνία:

Κενό ασφαλείας στο Yoast SEO

Δημοσίευση από geomagas » 14 Μαρ 2015 08:17

@alou δεν έχεις καθόλου άδικο. Το ίδιο όμως σκεφτόμουν όταν τα windows ή ακόμα και το linux σου έδιναν τη δυνατότητα να ορίσεις τα updates να γίνονται αυτόματα. Βέβαια, η μεγάλη διαφορά είναι ότι αυτά είναι opt-in ενώ εδώ το default είναι να γίνονται μέχρι να βρεις τρόπο να τα απενεργοποιήσεις.

Είναι συνήθης πολιτική στο WordPress να υλοποιείται μία minimum λειτουργικότητα στον πυρήνα, και μετά να αφήνεται στην κοινότητα η υλοποίηση σε ανώτερο επίπεδο. Είναι σαν να σου λέει "σου έχω έτοιμο το api, φτιάξε ένα plugin για να το χειριστείς όπως σου γουστάρει". Όχι ότι έχει γίνει μέχρι τώρα καμιά σημαντική δουλειά πάνω σ' αυτό, το πιο "αξιόλογο" plugin που βρήκα είναι αυτό.

Απάντηση

Επιστροφή στο “WordPress Plugins”

Μέλη σε σύνδεση

Μέλη σε αυτήν τη Δ. Συζήτηση: Δεν υπάρχουν εγγεγραμμένα μέλη και 0 επισκέπτες