The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Возможность подстановки SQL-кода в популярном дополнении к W..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Возможность подстановки SQL-кода в популярном дополнении к W..."  +/
Сообщение от opennews (??), 01-Мрт-17, 21:14 
В NextGEN Gallery (https://wordpress.org/plugins/nextgen-gallery/), дополнении к системе управления web-контентом WordPress, насчитывающем более 16 млн загрузок и более миллиона установок, выявлена (https://blog.sucuri.net/2017/02/sql-injection-vulnerability-... критическая узвимость, позволяющая неаутентифицированному посетителю выполнить SQL-запрос и получить доступ к содержимому базы данных, в том числе к хэшам паролей пользователей WordPress.


Проблема проявляется только если в дополнении активирована функции отображения облака тегов или разрешено размещение материалов для публикации после рецензирования. Уязвимость вызвана некорректной проверкой параметров запроса (например, "http://target.url/2017/01/17/new-one/nggallery/tags/test... что приводит к включению в SQL-запрос полученных от пользователя данных, без их корректной чистки.  Уязвимость молча устранена в версии NextGEN Gallery 2.1.79 без отражения информации об исправлении критической уязвимости в списке изменений (https://wordpress.org/plugins/nextgen-gallery/changelog/).


URL: https://blog.sucuri.net/2017/02/sql-injection-vulnerability-...
Новость: http://www.opennet.dev/opennews/art.shtml?num=46120

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Возможность подстановки SQL-кода в популярном дополнении к W..."  +14 +/
Сообщение от Аноним (-), 01-Мрт-17, 21:14 
Замечательно. В списке изменений безобидное "Changed: Tag display adjustment", а на деле "Security Risk: Critical; Exploitation Level: Easy/Remote; DREAD Score: 9; Vulnerability: SQL Injection".
Ответить | Правка | Наверх | Cообщить модератору

2. "Возможность подстановки SQL-кода в популярном дополнении к W..."  –3 +/
Сообщение от Аноним (-), 01-Мрт-17, 22:13 
Мда, пока есть школьники, то и пользователи будут. Не понимаю как такое сито можно вообще советовать в качестве движка для блога, не говоря уже о всяких магазинах. Очевидно, что только школо-ло будет советовать своим одноклассникам. В здравом уме люди будут юзать что-то другое.
Ответить | Правка | Наверх | Cообщить модератору

3. "Возможность подстановки SQL-кода в популярном дополнении к W..."  +/
Сообщение от Аноним (-), 01-Мрт-17, 22:41 
Например? Какие альтернативы?
Ответить | Правка | Наверх | Cообщить модератору

4. "Возможность подстановки SQL-кода в популярном дополнении к W..."  –5 +/
Сообщение от НяшМяш (ok), 01-Мрт-17, 23:10 
Зачем вообще для блога движок? Можно всё лепить в статике без бекенда - какой-нибудь markdown шаблонизатор, а если нужны комментарии - можно disqus подключить.
Ответить | Правка | Наверх | Cообщить модератору

16. "Возможность подстановки SQL-кода в популярном дополнении к W..."  +/
Сообщение от Orduemail (ok), 02-Мрт-17, 09:49 
У меня, например, disqus не работает по причине того, что анальный зонд. Мне не нравится идея централизованного хранилища моих графоманских комментариев, которая сможет всю эту графоманию на разнообразных сайтах увязать с одной личностью. И избавиться от этого не удастся путём креативного заполнения профилей на этих разных сайтах: необходимость выполнения жабаскрипта с этого самого disqus сводит на нет все подобные потуги. Ты б ещё предложил бы в социалочках комментарии из блога хранить.

А движок позволяет всё сделать, прикладывая не больше усилий чем с disqus'ом, не размазывая при этом информацию пользователей по всему интернету. И усилий на это потребуется не больше. Просто не надо делать на вордпрессе.

Ответить | Правка | Наверх | Cообщить модератору

14. "Возможность подстановки SQL-кода в популярном дополнении к W..."  +/
Сообщение от GG (ok), 02-Мрт-17, 08:19 
Однажды меня это окончательно достало и я начал пилить свой велосипед на питоне
Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

15. "Возможность подстановки SQL-кода в популярном дополнении к W..."  +/
Сообщение от Аноним (-), 02-Мрт-17, 09:42 
OctoberCMS
Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

24. "Возможность подстановки SQL-кода в популярном дополнении к W..."  +/
Сообщение от sorrymak (ok), 02-Мрт-17, 16:10 
Pelican, Jekyll, Hugo.
Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

5. "Возможность подстановки SQL-кода в популярном дополнении к W..."  –1 +/
Сообщение от Sabakwaka (ok), 01-Мрт-17, 23:24 
>> школо-ло...

https://www.nytimes.com/  — на wordpress'е и без проблем.

И еще нацать пять тыщ сайтов.
И все без проблем.

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

6. "Возможность подстановки SQL-кода в популярном дополнении к W..."  +5 +/
Сообщение от redwolf (ok), 01-Мрт-17, 23:45 
Что-то мне подсказывает, что от WordPress они юзают только сам движок. Всё остальное написано нормальными программистами, а не теми, которые в маркет WP-плагинов плодят миллиардный вариант галереи с дыркой в безопасности.
Ответить | Правка | Наверх | Cообщить модератору

7. "Возможность подстановки SQL-кода в популярном дополнении к W..."  –2 +/
Сообщение от Sabakwaka (ok), 02-Мрт-17, 00:08 
> Что-то мне подсказывает, что от WordPress они юзают только сам движок.

Естественно.
WordPress — отличное хранилище статей, таксономии, связей и проч.
Да еще и с плагин-интерфейсом.
Морда забирает данные по REST.
CDN встроен.

Причем все есть в WordPress'е из коробки.
Бери, да пили.

Ответить | Правка | Наверх | Cообщить модератору

8. "Возможность подстановки SQL-кода в популярном дополнении к W..."  +4 +/
Сообщение от пох (?), 02-Мрт-17, 00:41 
> Что-то мне подсказывает, что от WordPress они юзают только сам движок.

что-то мне подсказывает, что нет.
> Всё остальное написано нормальными программистами

нормальным программистам нет никакой проблемы написать движок уровня "взять из базы тексты, показать юзеру" (равно как "взять из более-менее wysiwyg морды текст с картинками и запхать в базу") под специализированную задачу конкретного сайта.
А вот когда "нормальный" уеб-дизайнер требует от них "виджет как у xxx, но в другой рамочке, и чтобы _я_ мог его визифиг по шаблону страницы двигать" по сто раз в день - ничего не остается, как тупо взять этот виджет вместе со всем прилагаемым к нему wp-плагином - и еще сто штук.

Потом это все обвешивается контейнерами, прослойками, dpi+файрволлом+балансером, заодно фильтрующими явно нехорошие запросы, в самом конце, возможно, вообще ставится mod_security с ручным тюнингом - в общем, помимо программистов, зарплату получают три админа на все руки и два безопасника, плюс пять дежурной смены. А потом это все все равно дефейсят, потому что редактор ковырялся с материалом из кафешки, не заметив камеру наблюдения за спиной.

Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

10. "Возможность подстановки SQL-кода в популярном дополнении к W..."  –1 +/
Сообщение от Алексей (??), 02-Мрт-17, 05:53 
>Всё остальное написано нормальными программистами

необязательно, просто если написано что-то свое уже взломать в разы сложнее, а если еще поменять стандартные пути на свои, то уже только ручной рутиной можно под конкретный сайт...

Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

11. "Возможность подстановки SQL-кода в популярном дополнении к W..."  +/
Сообщение от Аноним (-), 02-Мрт-17, 07:27 
Нет там никакого WordPress. Сам проверь.

curl https://www.nytimes.com/ | grep wp

Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

21. "Возможность подстановки SQL-кода в популярном дополнении к W..."  +/
Сообщение от Аноним (-), 02-Мрт-17, 14:40 
> https://www.nytimes.com/  — на wordpress'е и без проблем.
>
> И еще нацать пять тыщ сайтов.
> И все без проблем.

Брехня, там Scoop CMS.

Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

29. "Возможность подстановки SQL-кода в популярном дополнении к W..."  +/
Сообщение от Michael Shigorinemail (ok), 03-Мрт-17, 11:41 
> https://www.nytimes.com/  — на wordpress'е и без проблем.

У этих проблемы в ДНК, если что.  "И не лечатся" (ц).

> И все без проблем.

Плавали, знаем -- #потерьнет.

Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

17. "Возможность подстановки SQL-кода в популярном дополнении к W..."  +1 +/
Сообщение от gogo (?), 02-Мрт-17, 10:13 
Поражает сpач в комментах насчет дополнений...
Никто никого не заставляет их устанавливать! А если устанавливаете, то думайте бошкой, а не задoм. Или хоть как-нибудь, но думайте.
В описании плагинов отлично видно, кто написал, когда обновлялся плагин и т.д. Плюс сейчас автообновление у ВП есть - большинство дыр фиксится задолго до того, как злых ботов на волю выпустят.
Ответить | Правка | Наверх | Cообщить модератору

19. "Возможность подстановки SQL-кода в популярном дополнении к W..."  –1 +/
Сообщение от A.Stahl (ok), 02-Мрт-17, 11:23 
>В описании плагинов отлично видно, кто написал, когда обновлялся плагин и т.д.

Охренеть какая полезная информация.
Ну и какой аддон лучше, написанный A. van Noord или K.Kristensen?
Или обновлённый 12 января хуже обновлённого 4 февраля?

Ответить | Правка | Наверх | Cообщить модератору

23. "Возможность подстановки SQL-кода в популярном дополнении к W..."  –2 +/
Сообщение от gogo (?), 02-Мрт-17, 15:59 
Вот, отличный пример человека, который не хочет думать и гордится этим.
Мне стоит разжевывать, что если плагин имеет версию 1.0.0 и обновлялся три года назад, то это - подозрительный плагин?

Как ты вообще хочешь? Чтобы было большими буквами написано "хороший" или "плохой" плагин? Если есть дельное предложение - напиши девелоперам ВП, они воспримут с радостью. На текущий момент они сделали как смогли, постарались выдать максимум информации о плагине. Если не можешь выбрать - не скули, чтобы кто-то выбрал за тебя. За таким - в эпл.

Ответить | Правка | Наверх | Cообщить модератору

25. "Возможность подстановки SQL-кода в популярном дополнении к W..."  –1 +/
Сообщение от A.Stahl (ok), 02-Мрт-17, 18:24 
>Мне стоит разжевывать, что если плагин имеет версию 1.0.0 и обновлялся три года назад, то это - подозрительный плагин?

Не подавись только.
А если плагин имеет версию 1.2.3 и обновлялся 3 года назад, то он лучше плагина версии 2.3.4, который обновлялся 2 года назад? Или наоборот? Большая версия говорит о востребованности плагина и его бурном развитии или о криворукости автора, которому часто приходится что-то исправлять? Год апдейта говорит о заброшенности или о законченности? Я знаю лишь то, что ты говоришь чушь.

Ответить | Правка | Наверх | Cообщить модератору

26. "Возможность подстановки SQL-кода в популярном дополнении к W..."  –1 +/
Сообщение от gogo (?), 02-Мрт-17, 18:57 
Да я уже понял, что ты настолько умный, что тебе думать не нужно. Не напрягайся.
Активность разработчика - это главное для любого проекта. В open source это гарантия, что найденная третьим лицом ошибка будет исправлена быстро. Именно так здесь все устроено. И это работает, как тебе не покажется странным, в пылу твоего юношеского максимализма.
Ответить | Правка | Наверх | Cообщить модератору

30. "Возможность подстановки SQL-кода в популярном дополнении к W..."  +/
Сообщение от Michael Shigorinemail (ok), 03-Мрт-17, 11:45 
> Да я уже понял, что ты настолько умный, что тебе думать не нужно. Не напрягайся.

А он ведь по существу.  В той же TYPO3, например, TER давно обучили рассказывать про расширения, по которым известны проблемы.  И состояние там не надо угадывать по версии и последней сборке -- может, сделано пять лет тому и на века (как минимум до ближайшего изменения API), а может, позавчера, но вчера уже нашли, эээ, "технологическое отверстие".  В смысле есть человекочитаемый статус от "Experimental" до уж не помню, что там за rock stable.

Ответить | Правка | Наверх | Cообщить модератору

28. "Возможность подстановки SQL-кода в популярном дополнении к W..."  +4 +/
Сообщение от redwolf (ok), 03-Мрт-17, 00:22 
Я вот хочу, чтобы было хотя бы вот так: https://www.drupal.org/security-advisory-policy
Ответить | Правка | К родителю #23 | Наверх | Cообщить модератору

18. "Возможность подстановки SQL-кода в популярном дополнении к W..."  –1 +/
Сообщение от Gemorroj (ok), 02-Мрт-17, 11:00 
капец, в какой-то там дополнении к вп sql-injection. и чо??? там еще 100500 дополнений и в них 100500*n sql-injection-ов, что с того-то.
Ответить | Правка | Наверх | Cообщить модератору

20. "Возможность подстановки SQL-кода в популярном дополнении к W..."  +/
Сообщение от Аноним (-), 02-Мрт-17, 11:30 
> капец, в какой-то там дополнении к вп sql-injection. и чо??? там еще
> 100500 дополнений и в них 100500*n sql-injection-ов, что с того-то.

Это одно из самых популярных дополнений, у него установок как у всех остальных CMS вместе взятых.
С сайта дополнения - "The most popular WordPress gallery plugin and one of the most popular plugins of all time with over 16.5 million downloads."

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру