Wiele dodatków do Wordpressa wymaga natychmiastowej aktualizacji Strona główna Aktualności22.04.2015 11:09 Udostępnij: O autorze Łukasz Tkacz Nieścisłość w oficjalnej dokumentacji Wordpressa dla deweloperów doprowadziła do tego, że wiele z wtyczek dla niego jest podatnych na atak. Na liście znajduje się przynajmniej 17 bardzo popularnych dodatków, jeżeli więc korzystacie z tego systemu zarządzania treścią, jak najszybciej zaktualizujcie je do najnowszych wersji. Odkrycia dokonali pracownicy firmy Scrutinizer zajmujący się badaniem i testowaniem oprogramowania. O problemach została następnie powiadomiona firma Yoast zajmująca się tworzeniem wielu dodatków do Wordpressa – to m.in. wśród nich znaleziono podatność. Problem jest związany z funkcjami add_query_arg, a także remove_query_arg, z których mogą korzystać deweloperzy tworzący rozszerzenia dla popularnego CMSsa. Odpowiadają one za modyfikację ciągów zapytań w adresach, niestety nie były dostatecznie opisane w oficjalnej dokumentacji i w efekcie deweloperzy nie zastosowali odpowiednich zabezpieczeń. Parametry przekazywane do wspomnianych funkcji nie są automatycznie filtrowane (a tak się wielu osobom wydawało), w efekcie możliwe jest wykonanie ataku XSS. Jak się okazało, w podobny, także niebezpieczny sposób funkcje wykorzystano i w innych popularnych dodatkach. Na liście zagrożonych znajdziemy m.in. pakiet Jetpack do kompleksowej modyfikacji Wordpressa, WPTouch oferujący wersję mobilną, Broken-Link-Checker, często stosowany All In One SEO, a także Related Posts for Wordpress. Lista zagrożonych dodatków jak na razie zawiera 17 pozycji, ale może być znacznie dłuższa – tak naprawdę każdy z dodatków używających tych funkcji może stanowić zagrożenie. Wszystko zależy od tego, jak zachowali się ich autorzy i czy samodzielnie testowali efekty działania funkcji udostępnianych w Wordpressie. Ciekawostką jest to, że problem został zauważony dawno temu i był już sygnalizowany wcześniej: niektórzy z deweloperów natknęli się na niego już w 2013 roku. Mike Jolley z zespołu WooThemes opisał wtedy dobre praktyki stosowania wspomnianych funkcji nie zapominając o konieczności filtrowania danych. Niestety, nie każdy z programistów wiedział, że należy zrobić to samodzielnie. Najwyraźniej gotowe rozwiązania w niektórych przypadkach rozleniwiają deweloperów i wyłączają u nich konieczność pamiętania o niektórych aspektach. Co możemy zrobić w tej sytuacji? Przede wszystkim powinniśmy wykonać aktualizację witryny, oraz wszystkich zainstalowanych na niej dodatków. Wtyczki zbędne i nieużywane wyłączmy i skasujmy. Jeżeli jakieś z nich nie są od dawna aktualizowane, warto poszukać darmowych zamienników. Możemy także ręcznie przeszukać pliki na serwerze w poszukiwaniu wspomnianych funkcji i sprawdzić, czy są zabezpieczone. Dokumentacja Wordpressa została już poprawiona i informuje programistów, że powinni dodatkowo korzystać z funkcji esc_url, która zabezpiecza adresy i usuwa z nich niebezpieczne ciągi znaków. Oprogramowanie Udostępnij: © dobreprogramy Zgłoś błąd w publikacji Zobacz także Android: październikowe poprawki bezpieczeństwa naprawiają groźną lukę 10 paź 2019 Anna Rymsza Oprogramowanie Bezpieczeństwo 58 WhatsApp: Luka bezpieczeństwa pozwala na wykonanie szkodliwego kodu poprzez GIF 4 paź 2019 Piotr Urbaniak Oprogramowanie Bezpieczeństwo 45 Android z poważną luką. Była używana do ataków, ale nie wiadomo przez kogo 4 paź 2019 Anna Rymsza Oprogramowanie Bezpieczeństwo 86 Mazda 6: Systemy bezpieczeństwa, kamera 360 stopni oraz zestaw audio BOSE 27 paź 2019 Kamil Rogala Sprzęt TechMoto 71
Udostępnij: O autorze Łukasz Tkacz Nieścisłość w oficjalnej dokumentacji Wordpressa dla deweloperów doprowadziła do tego, że wiele z wtyczek dla niego jest podatnych na atak. Na liście znajduje się przynajmniej 17 bardzo popularnych dodatków, jeżeli więc korzystacie z tego systemu zarządzania treścią, jak najszybciej zaktualizujcie je do najnowszych wersji. Odkrycia dokonali pracownicy firmy Scrutinizer zajmujący się badaniem i testowaniem oprogramowania. O problemach została następnie powiadomiona firma Yoast zajmująca się tworzeniem wielu dodatków do Wordpressa – to m.in. wśród nich znaleziono podatność. Problem jest związany z funkcjami add_query_arg, a także remove_query_arg, z których mogą korzystać deweloperzy tworzący rozszerzenia dla popularnego CMSsa. Odpowiadają one za modyfikację ciągów zapytań w adresach, niestety nie były dostatecznie opisane w oficjalnej dokumentacji i w efekcie deweloperzy nie zastosowali odpowiednich zabezpieczeń. Parametry przekazywane do wspomnianych funkcji nie są automatycznie filtrowane (a tak się wielu osobom wydawało), w efekcie możliwe jest wykonanie ataku XSS. Jak się okazało, w podobny, także niebezpieczny sposób funkcje wykorzystano i w innych popularnych dodatkach. Na liście zagrożonych znajdziemy m.in. pakiet Jetpack do kompleksowej modyfikacji Wordpressa, WPTouch oferujący wersję mobilną, Broken-Link-Checker, często stosowany All In One SEO, a także Related Posts for Wordpress. Lista zagrożonych dodatków jak na razie zawiera 17 pozycji, ale może być znacznie dłuższa – tak naprawdę każdy z dodatków używających tych funkcji może stanowić zagrożenie. Wszystko zależy od tego, jak zachowali się ich autorzy i czy samodzielnie testowali efekty działania funkcji udostępnianych w Wordpressie. Ciekawostką jest to, że problem został zauważony dawno temu i był już sygnalizowany wcześniej: niektórzy z deweloperów natknęli się na niego już w 2013 roku. Mike Jolley z zespołu WooThemes opisał wtedy dobre praktyki stosowania wspomnianych funkcji nie zapominając o konieczności filtrowania danych. Niestety, nie każdy z programistów wiedział, że należy zrobić to samodzielnie. Najwyraźniej gotowe rozwiązania w niektórych przypadkach rozleniwiają deweloperów i wyłączają u nich konieczność pamiętania o niektórych aspektach. Co możemy zrobić w tej sytuacji? Przede wszystkim powinniśmy wykonać aktualizację witryny, oraz wszystkich zainstalowanych na niej dodatków. Wtyczki zbędne i nieużywane wyłączmy i skasujmy. Jeżeli jakieś z nich nie są od dawna aktualizowane, warto poszukać darmowych zamienników. Możemy także ręcznie przeszukać pliki na serwerze w poszukiwaniu wspomnianych funkcji i sprawdzić, czy są zabezpieczone. Dokumentacja Wordpressa została już poprawiona i informuje programistów, że powinni dodatkowo korzystać z funkcji esc_url, która zabezpiecza adresy i usuwa z nich niebezpieczne ciągi znaków. Oprogramowanie Udostępnij: © dobreprogramy Zgłoś błąd w publikacji