16

Nie aktualizujcie WordPressa do wersji 4.2! Miliony stron są narażone na atak

Najnowsza wersja WordPressa nosząca numerek 4.2, o której informowałem kilka dni temu jest narażona na atak. W wyniku luki bezpieczeństwa możliwe stało się wstrzyknięcie kodu JavaScript za pomocą systemu komentarzy. To oznacza, że najlepiej póki co wstrzymać się z aktualizacją. Konkretnie problem dotyczy dwóch luk w systemie komentarzy, które otrzymały status exploitów zero-day. Atak można […]

Najnowsza wersja WordPressa nosząca numerek 4.2, o której informowałem kilka dni temu jest narażona na atak. W wyniku luki bezpieczeństwa możliwe stało się wstrzyknięcie kodu JavaScript za pomocą systemu komentarzy. To oznacza, że najlepiej póki co wstrzymać się z aktualizacją.

Konkretnie problem dotyczy dwóch luk w systemie komentarzy, które otrzymały status exploitów zero-day. Atak można przeprowadzić za pomocą wbudowanego w WordPressa systemu komentarzy. Aby tak się jednak stało, komentarz musi zostać natychmiast opublikowany (a nie np. trafić do moderacji). Rozwiązania problemu póki co nie ma, więc warto wstrzymać się z aktaulizacją do czasu, aż zostanie wydana poprawka. Ewentualnie środkiem zaradczym jest po prostu wyłączenie możliwości komentowania. Prawdopodobnie problem nie dotyczy stron, które korzystają z zewnętrznych systemów komentarzy jak np. Disqus.

Konsekwencje wykorzystania tych exploitów mogą być bardzo dotkliwe – istnieje możliwość m.in. przejęcia kontroli nad serwerem. Spekuluje się, że może to dotyczyć nawet milionów stron. Twórcy WordPressa od jakiegoś czasu wprowadzili mechanizm automatycznych aktualizacji. Nie obejmuje on wydań „dużych”, więc jeżeli nie zaktualizowaliście strony do wersji 4.2, możecie spać spokojnie. Jeżeli jednak zrobiliście to, poza środkami zaradczymi, wyczekujcie aktualizacji, która powinna pojawić się lada moment. Mniejsze wydania są instalowane w większości przypadków automatycznie, więc prawdopodobnie szybki hotfix powinien rozwiązać cały problem.

Trudno jednak oprzeć się wrażeniu, że zespół rozwijający CMS-a dał ciała, dopuszczając do tego typu sytuacji. Pozycja najpopularniejszego na świecie CMS-a oraz kilkadziesiąt milionów napędzanych stron www powinny zobowiązywać do większej odpowiedzialności. Z drugiej strony, takie sytuacje zdarzają się nawet najlepszym. W każdym razie, warto mieć to na uwadze i nie śpieszyć się z aktualizacjami – niezależnie czy dotyczy to CMS-a czy innego oprogramowania. Przypomina mi się tutaj jeden z moich felietonów, do którego odsyłam ku refleksji.

Aktualizacja

Zgodnie z oczekiwaniami pojawiła się aktualizacja (szybko) do wersji 4.2.1, która tego problemu jest pozbawiona. Jednocześnie twórcy podali informację, że problem nie dotyczy tylko wersji 4.2, ale również 3.9.3 i nowszych. Warto zatem zadbać o to, by nasza strona stała na najnowszej aktualnie dostępnej, dzięki czemu unikniemy przykrych konsekwencji.