The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Обновление WordPress 3.6.1 с устранением уязвимостей"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Обновление WordPress 3.6.1 с устранением уязвимостей"  +/
Сообщение от opennews (ok) on 12-Сен-13, 10:17 
В системе управления web-контентом WordPress, используемой примерно на 18% (http://wordpress.org/news/2013/05/ten-good-years/) из миллиона самых популярных сайтов в Сети, обнаружена (http://vagosec.org/2013/09/wordpress-php-object-injection/) опасная уязвимость, потенциально позволяющая организовать выполнение PHP-кода на сервере.

Проблема проявляется из-за возможности обмануть проверку использования сериализированных данных и инициировать подстановку в БД подготовленного атакующим сериализированного блока, при распаковке которого можно организовать подмену параметров PHP-объектов  WordPress и добиться выполнения PHP-кода. Опасность проблемы снижает необходимость наличия специфичных условий для эксплуатации, например, прототип эксплоита удалось создать только для выполнения кода через класс стороннего плагина к WordPress, найти штатные классы WordPress, содержащие изначально определённые методы, вызываемые поле выполнения unserialize(), не удалось. Кроме того, разработчики WordPress выяснили, что проблема не проявляется в конфигурациях с MySQL, в которых игнорируется хвост UTF8-последовательности при выявлении неполного многобайтового Unicode-символа.


Уязвимость устранена (http://wordpress.org/news/2013/09/wordpress-3-6-1/) в экстренно выпущенном релизе WordPress 3.6.1 (http://wordpress.org). Пользователям WordPress рекомендуется незамедлительно установить обновление.
В выпуске 3.6.1 также устранены ещё две неприятные уязвиомости: проблема, позволяющая пользователю с правами автора сформировать публикацию от имени другого пользователя, и возможность организовать перенаправления пользователя на другой сайт.

URL: http://permalink.gmane.org/gmane.comp.security.oss.general/1...
Новость: http://www.opennet.dev/opennews/art.shtml?num=37891

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Обновление WordPress 3.6.1 с устранением уязвимостей"  +/
Сообщение от GG (ok) on 12-Сен-13, 10:17 
Спасибо, обновлюсь пойду
Хотя все эти проблемы моих вордпрессов не касаются
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "Обновление WordPress 3.6.1 с устранением уязвимостей"  +/
Сообщение от Аноним (??) on 12-Сен-13, 13:05 
Локальный эксплоит?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "Обновление WordPress 3.6.1 с устранением уязвимостей"  +/
Сообщение от Fantomas (??) on 12-Сен-13, 15:10 
А если сайты делаются для заказчиков их же никто не обновляет.
Поставили и забыли(забили))).
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

8. "Обновление WordPress 3.6.1 с устранением уязвимостей"  +/
Сообщение от GG (ok) on 12-Сен-13, 15:42 
> А если сайты делаются для заказчиков их же никто не обновляет.
> Поставили и забыли(забили))).

Значит хреновый заказчик.
У нормального хватит ума или самому обновлять или заплатить за поддержку.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

11. "Обновление WordPress 3.6.1 с устранением уязвимостей"  +/
Сообщение от Fantomas (??) on 12-Сен-13, 16:27 
В теории да, а на практике поставили и забили )))
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

9. "Обновление WordPress 3.6.1 с устранением уязвимостей"  +2 +/
Сообщение от asavah (ok) on 12-Сен-13, 16:10 
WP - одна большая дыра.
Вылечить можно только одним способом - rm -rf
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

10. "Обновление WordPress 3.6.1 с устранением уязвимостей"  +/
Сообщение от lybin email(ok) on 12-Сен-13, 16:27 
во-во, подобная мысль пришла, что-то очень часто вижу новости что нашли дырку...
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

12. "Обновление WordPress 3.6.1 с устранением уязвимостей"  +/
Сообщение от Fantomas (??) on 12-Сен-13, 16:29 
А как по-поводу замены ВП на Мезанин, есть советы?

ЗЫ
http://mezzanine.jupo.org/docs/content-architecture.html

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

13. "Обновление WordPress 3.6.1 с устранением уязвимостей"  +2 +/
Сообщение от бедный буратино (ok) on 12-Сен-13, 17:48 
Новости о Wordpress пишут для того, чтобы удалять комментарии в них. Этакий дигитал мазохизм. :)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

14. "Обновление WordPress 3.6.1 с устранением уязвимостей"  +1 +/
Сообщение от Аноним (??) on 12-Сен-13, 21:29 
Шигорин только комментарии своих друзей не удаляет
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

15. "Обновление WordPress 3.6.1 с устранением уязвимости, которая..."  +/
Сообщение от ононим on 13-Сен-13, 06:32 
слушайте, а как победить появившуюся в 3.6 неработоспособность визуального редактора? думал, в 3.6.1 устранят, ан нет, балалайко.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

16. "Обновление WordPress 3.6.1 с устранением уязвимости, которая..."  +/
Сообщение от GG (ok) on 13-Сен-13, 10:35 
> слушайте, а как победить появившуюся в 3.6 неработоспособность визуального редактора?
> думал, в 3.6.1 устранят, ан нет, балалайко.

Визуальный редактор никогда не ломался.
Это либо кривой editor.css (70%) вместе со шкурой либо какой-нибудь плагин (20%) либо сами сломали (10%).
В первую очередь включить одну из дефолтных шкур, выключить все плагины и проверить.
Во вторую очередь удалить физически все шкуры и плагины и проверить так.
Если оба способа не помогут – значит сами сломали.
Проверить на чистом вордпрессе и если не работает – значит или хостинг или браузер виноваты.

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

17. "Обновление WordPress 3.6.1 с устранением уязвимости, которая..."  +/
Сообщение от ононим on 13-Сен-13, 15:11 
угу. а в ситуации "ничего не делал, кроме обновления вордпресса" кто виноват?
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

18. "Обновление WordPress 3.6.1 с устранением уязвимости, которая..."  +/
Сообщение от GG (ok) on 13-Сен-13, 15:17 
> угу. а в ситуации "ничего не делал, кроме обновления вордпресса" кто виноват?

Браузер или сервер. Сколько лет обновляю вордпрессы – ни разу визуальный редактор не отваливался.

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

20. "Обновление WordPress 3.6.1 с устранением уязвимости, которая..."  +/
Сообщение от ононим on 13-Сен-13, 18:22 
> Браузер или сервер. Сколько лет обновляю вордпрессы – ни разу визуальный редактор
> не отваливался.

Да нет, так-то проблема распространённая, судя по гугелю. Мои вордпрессы ставлены в феврале-марте, последовательно обновлялись, а тут такое вот.

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

19. "Обновление WordPress 3.6.1 с устранением уязвимости, которая..."  +/
Сообщение от GG (ok) on 13-Сен-13, 15:18 
А вообще, если серьёзно, была бага давным-давно с обновлением оооочень старых вордпрессов – они не удаляли при обновлении лишние css файлы, но новые компоненты их подхватывали и в результате отображались не так, как надо. Решается ручным удалением остатков от старинных вордпрессов.
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру