16 891
Tesztek Android Google Apple Microsoft Samsung Huawei Linux Okostelefon Biztonság Tudomány Facebook Videojáték Film
/ContentUploads/N4970/wordpress_exploit_death_by_comments.jpg
Kattints ide  ➜

55 millió weboldal lehet komoly veszélyben

Makay József2014.11.25. 00.59
/ContentUploads/N4970/wordpress_exploit_death_by_comments.jpgA Wordpress tartalomkezelőre (CMS) épülő weboldalak 86 százaléka – tehát körülbelül 55 millió oldal – lehet érintett abban a sérülékenységben, amit egy Jouk Pynnonen nevű finn hacker fedezett fel a napokban.

FIGYELEM! A cikk közérdekű információkat tartalmaz. Kérjük, oszd meg ismerőseiddel is!

A „death by comments” néven emlegetett hiba a Wordpress egyik hozzászólás-feldolgozó függvényében van, aminek segítségével a támadó egy – JavaScript kóddal feljavított – hozzászólással teljesen átveheti az irányítást az oldal felett. Ebbe beletartozik saját PHP-k rendszerszintű futtatása, jelszavak módosítása, felhasználók, adminisztrátorok, valamint a tulajdonos kizárása és lényegében minden, amit maga a tulajdonos is megtehet.

A helyzetet súlyosbítja, hogy a négy éves múltra visszatekintő biztonsági hiányosság kihasználásához nem szükséges végtelenül komoly szakértelem, szóval aki hajlandó elolvasni a Pynnonen által elérhetővé tett dokumentációt, könnyedén elkövetheti a bűncselekménynek számító eltérítést.

A sérülékenység a 3.0-s verziószámmal ellátott kiadástól kezdve él és használható ki egészen a 4.0-s kiadásig, amiben a hozzászólások radikálisan átalakított kezelése miatt már nincs lehetőség erre a behatolásra. Ugyanakkor a Wordpress biztonsági csapata egy sor további XSS támadási lehetőséget is felfedezett, amit a 4.0.1-es verzióban javítottak, így minden érintettnek javasoljuk a Wordpress 4.0.1-re való frissítést.

Amennyiben a házi módosítások miatt már nincs lehetőségünk a Wordpress frissítésére, érdemes elolvasnunk bejegyzés Workarounds című bekezdését, ahol részletes leírást kapunk a frissítés nélküli javításról.


A szerző véleménye



A Wordpress hatékonyságához, egyszerűségéhez és sokszínűségéhez egyszerűen nem férhet kétség. Ezeknek a tartalomkezelő rendszereknek viszont megvan az a hátránya is, hogy rengetegen foglalkoznak a bennük található biztonsági hibák felkutatásával, így weboldalunk és/vagy blogunk jóval gyakrabban válhat önjelölt Hacker Pistikék célpontjává, mint egy saját fejlesztésű weboldal esetében, ami mögött senki sem tudja, hogy milyen megoldások sorakoznak – függetlenül attól, hogy a Wordpress kódját folyamatosan javítják.


Forrás: The Register, klikki.fi, Wikipedia, Wordpress
Kattints ide  ➜

Az Androbit technológiai és tudományos magazinnál hiszünk abban, hogy az információ mindenkit megillet. Hosszú évek munkájával megszerzett hírnevünknek köszönhetően megadatott számunkra az a lehetőség, hogy műszaki témájú médiumként is elérhessünk minden internetező korosztályt. Tesszük ezt olyan hírekkel és cikkekkel, amik között egyaránt szerepel nagyobb tömegeket és kisebb szakmai csoportokat érintő tartalom is.

A témák gondos összeválogatásának és a cikkek minőségi kidolgozottságának hála mára Magyarország egyik legnépszerűbb technológiai és tudományos információforrásává váltunk – fejlesztéseinkkel és kutatásainkkal pedig igyekszünk mindig egy lépéssel a versenytársak előtt járni.

A weboldalunkon található, szerkesztőségünk által készített tartalmakra vonatkozó összes felhasználási jogot az Androbit technológiai és tudományos magazin birtokolja. A tartalmak egyes részleteinek felhasználását kizárólag látványos (vagy jól hallható) forrásmegjelöléssel engedélyezzük. A feltételek megszegésének jogi következményei lehetnek. A feltételektől eltérő tartalomfelhasználás kizárólag megegyezés útján lehetséges.
Copyright © 2007-2016 – Makay József (makay@androbit.net)