форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Обновление WordPress 3.6.1 с устранением уязвимостей"	+/–
Сообщение от opennews (ok) on 12-Сен-13, 10:17
В системе управления web-контентом WordPress, используемой примерно на 18% (http://wordpress.org/news/2013/05/ten-good-years/) из миллиона самых популярных сайтов в Сети, обнаружена (http://vagosec.org/2013/09/wordpress-php-object-injection/) опасная уязвимость, потенциально позволяющая организовать выполнение PHP-кода на сервере. Проблема проявляется из-за возможности обмануть проверку использования сериализированных данных и инициировать подстановку в БД подготовленного атакующим сериализированного блока, при распаковке которого можно организовать подмену параметров PHP-объектов  WordPress и добиться выполнения PHP-кода. Опасность проблемы снижает необходимость наличия специфичных условий для эксплуатации, например, прототип эксплоита удалось создать только для выполнения кода через класс стороннего плагина к WordPress, найти штатные классы WordPress, содержащие изначально определённые методы, вызываемые поле выполнения unserialize(), не удалось. Кроме того, разработчики WordPress выяснили, что проблема не проявляется в конфигурациях с MySQL, в которых игнорируется хвост UTF8-последовательности при выявлении неполного многобайтового Unicode-символа. Уязвимость устранена (http://wordpress.org/news/2013/09/wordpress-3-6-1/) в экстренно выпущенном релизе WordPress 3.6.1 (http://wordpress.org). Пользователям WordPress рекомендуется незамедлительно установить обновление. В выпуске 3.6.1 также устранены ещё две неприятные уязвиомости: проблема, позволяющая пользователю с правами автора сформировать публикацию от имени другого пользователя, и возможность организовать перенаправления пользователя на другой сайт. URL: http://permalink.gmane.org/gmane.comp.security.oss.general/1... Новость: http://www.opennet.dev/opennews/art.shtml?num=37891
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Обновление WordPress 3.6.1 с устранением уязвимостей"	+/–
Сообщение от GG (ok) on 12-Сен-13, 10:17
Спасибо, обновлюсь пойду Хотя все эти проблемы моих вордпрессов не касаются
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "Обновление WordPress 3.6.1 с устранением уязвимостей"	+/–
Сообщение от Аноним (??) on 12-Сен-13, 13:05
Локальный эксплоит?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "Обновление WordPress 3.6.1 с устранением уязвимостей"	+/–
Сообщение от Fantomas (??) on 12-Сен-13, 15:10
А если сайты делаются для заказчиков их же никто не обновляет. Поставили и забыли(забили))).
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	8. "Обновление WordPress 3.6.1 с устранением уязвимостей"	+/–
	Сообщение от GG (ok) on 12-Сен-13, 15:42
	> А если сайты делаются для заказчиков их же никто не обновляет. > Поставили и забыли(забили))). Значит хреновый заказчик. У нормального хватит ума или самому обновлять или заплатить за поддержку.
	Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

	11. "Обновление WordPress 3.6.1 с устранением уязвимостей"	+/–
	Сообщение от Fantomas (??) on 12-Сен-13, 16:27
	В теории да, а на практике поставили и забили )))
	Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

9. "Обновление WordPress 3.6.1 с устранением уязвимостей"	+2 +/–
Сообщение от asavah (ok) on 12-Сен-13, 16:10
WP - одна большая дыра. Вылечить можно только одним способом - rm -rf
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	10. "Обновление WordPress 3.6.1 с устранением уязвимостей"	+/–
	Сообщение от lybin (ok) on 12-Сен-13, 16:27
	во-во, подобная мысль пришла, что-то очень часто вижу новости что нашли дырку...
	Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

12. "Обновление WordPress 3.6.1 с устранением уязвимостей"	+/–
Сообщение от Fantomas (??) on 12-Сен-13, 16:29
А как по-поводу замены ВП на Мезанин, есть советы? ЗЫ http://mezzanine.jupo.org/docs/content-architecture.html
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

13. "Обновление WordPress 3.6.1 с устранением уязвимостей"	+2 +/–
Сообщение от бедный буратино (ok) on 12-Сен-13, 17:48
Новости о Wordpress пишут для того, чтобы удалять комментарии в них. Этакий дигитал мазохизм. :)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	14. "Обновление WordPress 3.6.1 с устранением уязвимостей"	+1 +/–
	Сообщение от Аноним (??) on 12-Сен-13, 21:29
	Шигорин только комментарии своих друзей не удаляет
	Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

15. "Обновление WordPress 3.6.1 с устранением уязвимости, которая..."	+/–
Сообщение от ононим on 13-Сен-13, 06:32
слушайте, а как победить появившуюся в 3.6 неработоспособность визуального редактора? думал, в 3.6.1 устранят, ан нет, балалайко.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	16. "Обновление WordPress 3.6.1 с устранением уязвимости, которая..."	+/–
	Сообщение от GG (ok) on 13-Сен-13, 10:35
	> слушайте, а как победить появившуюся в 3.6 неработоспособность визуального редактора? > думал, в 3.6.1 устранят, ан нет, балалайко. Визуальный редактор никогда не ломался. Это либо кривой editor.css (70%) вместе со шкурой либо какой-нибудь плагин (20%) либо сами сломали (10%). В первую очередь включить одну из дефолтных шкур, выключить все плагины и проверить. Во вторую очередь удалить физически все шкуры и плагины и проверить так. Если оба способа не помогут – значит сами сломали. Проверить на чистом вордпрессе и если не работает – значит или хостинг или браузер виноваты.
	Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

	17. "Обновление WordPress 3.6.1 с устранением уязвимости, которая..."	+/–
	Сообщение от ононим on 13-Сен-13, 15:11
	угу. а в ситуации "ничего не делал, кроме обновления вордпресса" кто виноват?
	Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

	18. "Обновление WordPress 3.6.1 с устранением уязвимости, которая..."	+/–
	Сообщение от GG (ok) on 13-Сен-13, 15:17
	> угу. а в ситуации "ничего не делал, кроме обновления вордпресса" кто виноват? Браузер или сервер. Сколько лет обновляю вордпрессы – ни разу визуальный редактор не отваливался.
	Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

	20. "Обновление WordPress 3.6.1 с устранением уязвимости, которая..."	+/–
	Сообщение от ононим on 13-Сен-13, 18:22
	> Браузер или сервер. Сколько лет обновляю вордпрессы – ни разу визуальный редактор > не отваливался. Да нет, так-то проблема распространённая, судя по гугелю. Мои вордпрессы ставлены в феврале-марте, последовательно обновлялись, а тут такое вот.
	Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

	19. "Обновление WordPress 3.6.1 с устранением уязвимости, которая..."	+/–
	Сообщение от GG (ok) on 13-Сен-13, 15:18
	А вообще, если серьёзно, была бага давным-давно с обновлением оооочень старых вордпрессов – они не удаляли при обновлении лишние css файлы, но новые компоненты их подхватывали и в результате отображались не так, как надо. Решается ручным удалением остатков от старинных вордпрессов.
	Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема