Финская ИТ-компания раскрыла информацию об ошибке безопасности в Wordpress 3, которая позволяет выполнять широкий спектр вредоносных скриптов, нацеленных на браузеры посетителей. Согласно статистике использования Wordpress, уязвимости могут быть подвержено 86 % сайтов на этом свободном движке.
Уязвимость была обнаружена Йоуко Пинноуном (Jouko Pynnone) из Klikki Oy. Она позволяет выполнить вредоносный JavaScript-код в комментариях. Атаке подвержены сайты, которые позволяют комментировать без аутентификации, а это стандартная настройка WordPress. Концепт атаки, созданный в Klikky Oy, позволил скомпрометировать сессию администратора и создать новый административный аккаунт WordPress с известным паролем, изменить текущий пароль администратора, а также выполнить вредоносный PHP-код на сервере. Это значит, что злоумышленник может полностью перехватить контроль над сайтом для своих целей.
«В первую очередь наши эксплоиты чистят следы инфицирования в базе данных, — пишет команда Klikki Oy в своём блоге, — затем переходят к выполнению пользовательских задач: меняют пароль администратора, создают нового или, используя редактор плагинов, выполняют предложенный PHP-код на сервере. Все операции проходят в фоновом режиме и пользователь не замечает чего-то странного. Если атакующий запишет код PHP для выполнения, другой AJAX-запрос может быть использован для мгновенного выполнения, в результате чего злоумышленник захватит контроль над операционной системой сервера».
Текущая версия WordPress 4.0, которая вышла в сентября 2014 года, этой уязвимости не подвержена.
оригинал на www.nixp.ru
[NIXP] 86 % сайтов на Wordpress подвержено ошибке безопасности в системе комментариев
Модератор: Модераторы разделов
-
Dmitry Shurupov
- Сообщения: 336
- Статус: Open Source geek
- ОС: Ubuntu Linux
[NIXP] 86 % сайтов на Wordpress подвержено ошибке безопасности в системе комментариев
По-моему, это еще один повод перейти на Убунту.
-
Bizdelnick
- Модератор
- Сообщения: 21415
- Статус: nulla salus bello
- ОС: Debian GNU/Linux
Re: [NIXP] 86 % сайтов на Wordpress подвержено ошибке безопасности в системе комментариев
Ссылка для тех, кто, как и я, ничего не понял из новости: http://klikki.fi/adv/wordpress_press.html.
Пишите правильно:
| в консоли вку́пе (с чем-либо) в общем вообще | в течение (часа) новичок нюанс по умолчанию | приемлемо проблема пробовать трафик |
-
MrClon
- Сообщения: 838
- ОС: Ubuntu 10.04, Debian 7 и 6
Re: [NIXP] 86 % сайтов на Wordpress подвержено ошибке безопасности в системе комментариев
Текущая версия WordPress 4.0
Вообще-то уже 4.0.1.
Боян это. Обновление давно вышло, об ошибке уже сообшалось. Новость тут разве-что про 86%, не знал что только ССЗБ. Впрочем возможно что это просто старые данные.
в результате чего злоумышленник захватит контроль над операционной системой сервера».
Если веб-сервер работает от рута (: