Wiele dodatków do Wordpressa wymaga natychmiastowej aktualizacji Strona główna Aktualności22.04.2015 11:09 Udostępnij: O autorze Łukasz Tkacz Nieścisłość w oficjalnej dokumentacji Wordpressa dla deweloperów doprowadziła do tego, że wiele z wtyczek dla niego jest podatnych na atak. Na liście znajduje się przynajmniej 17 bardzo popularnych dodatków, jeżeli więc korzystacie z tego systemu zarządzania treścią, jak najszybciej zaktualizujcie je do najnowszych wersji. Odkrycia dokonali pracownicy firmy Scrutinizer zajmujący się badaniem i testowaniem oprogramowania. O problemach została następnie powiadomiona firma Yoast zajmująca się tworzeniem wielu dodatków do Wordpressa – to m.in. wśród nich znaleziono podatność. Problem jest związany z funkcjami add_query_arg, a także remove_query_arg, z których mogą korzystać deweloperzy tworzący rozszerzenia dla popularnego CMSsa. Odpowiadają one za modyfikację ciągów zapytań w adresach, niestety nie były dostatecznie opisane w oficjalnej dokumentacji i w efekcie deweloperzy nie zastosowali odpowiednich zabezpieczeń. Parametry przekazywane do wspomnianych funkcji nie są automatycznie filtrowane (a tak się wielu osobom wydawało), w efekcie możliwe jest wykonanie ataku XSS. Jak się okazało, w podobny, także niebezpieczny sposób funkcje wykorzystano i w innych popularnych dodatkach. Na liście zagrożonych znajdziemy m.in. pakiet Jetpack do kompleksowej modyfikacji Wordpressa, WPTouch oferujący wersję mobilną, Broken-Link-Checker, często stosowany All In One SEO, a także Related Posts for Wordpress. Lista zagrożonych dodatków jak na razie zawiera 17 pozycji, ale może być znacznie dłuższa – tak naprawdę każdy z dodatków używających tych funkcji może stanowić zagrożenie. Wszystko zależy od tego, jak zachowali się ich autorzy i czy samodzielnie testowali efekty działania funkcji udostępnianych w Wordpressie. Ciekawostką jest to, że problem został zauważony dawno temu i był już sygnalizowany wcześniej: niektórzy z deweloperów natknęli się na niego już w 2013 roku. Mike Jolley z zespołu WooThemes opisał wtedy dobre praktyki stosowania wspomnianych funkcji nie zapominając o konieczności filtrowania danych. Niestety, nie każdy z programistów wiedział, że należy zrobić to samodzielnie. Najwyraźniej gotowe rozwiązania w niektórych przypadkach rozleniwiają deweloperów i wyłączają u nich konieczność pamiętania o niektórych aspektach. Co możemy zrobić w tej sytuacji? Przede wszystkim powinniśmy wykonać aktualizację witryny, oraz wszystkich zainstalowanych na niej dodatków. Wtyczki zbędne i nieużywane wyłączmy i skasujmy. Jeżeli jakieś z nich nie są od dawna aktualizowane, warto poszukać darmowych zamienników. Możemy także ręcznie przeszukać pliki na serwerze w poszukiwaniu wspomnianych funkcji i sprawdzić, czy są zabezpieczone. Dokumentacja Wordpressa została już poprawiona i informuje programistów, że powinni dodatkowo korzystać z funkcji esc_url, która zabezpiecza adresy i usuwa z nich niebezpieczne ciągi znaków. Oprogramowanie Udostępnij: © dobreprogramy Zgłoś błąd w publikacji Zobacz także WhatsApp posiada poważną lukę. Wystarczy jedna wiadomość, żeby dostać się do plików 6 lut 2020 Arkadiusz Stando Oprogramowanie Internet Bezpieczeństwo 13 Xbox Bounty już działa. Microsoft zapłaci za wykrytą lukę do 20 tys. dolarów 31 sty 2020 Oskar Ziomek Oprogramowanie Gaming Biznes Bezpieczeństwo 10 Kolejna poważna luka w Android 8 i 9. BlueFrag pozwala przesyłać malware Bluetoothem 10 lut 2020 Arkadiusz Stando Oprogramowanie Internet Bezpieczeństwo 43 Google usunął ponad 500 dodatków z Chrome Web Store. To były szkodliwe aplikacje 14 lut 2020 Oskar Ziomek Oprogramowanie Internet Bezpieczeństwo 22
Udostępnij: O autorze Łukasz Tkacz Nieścisłość w oficjalnej dokumentacji Wordpressa dla deweloperów doprowadziła do tego, że wiele z wtyczek dla niego jest podatnych na atak. Na liście znajduje się przynajmniej 17 bardzo popularnych dodatków, jeżeli więc korzystacie z tego systemu zarządzania treścią, jak najszybciej zaktualizujcie je do najnowszych wersji. Odkrycia dokonali pracownicy firmy Scrutinizer zajmujący się badaniem i testowaniem oprogramowania. O problemach została następnie powiadomiona firma Yoast zajmująca się tworzeniem wielu dodatków do Wordpressa – to m.in. wśród nich znaleziono podatność. Problem jest związany z funkcjami add_query_arg, a także remove_query_arg, z których mogą korzystać deweloperzy tworzący rozszerzenia dla popularnego CMSsa. Odpowiadają one za modyfikację ciągów zapytań w adresach, niestety nie były dostatecznie opisane w oficjalnej dokumentacji i w efekcie deweloperzy nie zastosowali odpowiednich zabezpieczeń. Parametry przekazywane do wspomnianych funkcji nie są automatycznie filtrowane (a tak się wielu osobom wydawało), w efekcie możliwe jest wykonanie ataku XSS. Jak się okazało, w podobny, także niebezpieczny sposób funkcje wykorzystano i w innych popularnych dodatkach. Na liście zagrożonych znajdziemy m.in. pakiet Jetpack do kompleksowej modyfikacji Wordpressa, WPTouch oferujący wersję mobilną, Broken-Link-Checker, często stosowany All In One SEO, a także Related Posts for Wordpress. Lista zagrożonych dodatków jak na razie zawiera 17 pozycji, ale może być znacznie dłuższa – tak naprawdę każdy z dodatków używających tych funkcji może stanowić zagrożenie. Wszystko zależy od tego, jak zachowali się ich autorzy i czy samodzielnie testowali efekty działania funkcji udostępnianych w Wordpressie. Ciekawostką jest to, że problem został zauważony dawno temu i był już sygnalizowany wcześniej: niektórzy z deweloperów natknęli się na niego już w 2013 roku. Mike Jolley z zespołu WooThemes opisał wtedy dobre praktyki stosowania wspomnianych funkcji nie zapominając o konieczności filtrowania danych. Niestety, nie każdy z programistów wiedział, że należy zrobić to samodzielnie. Najwyraźniej gotowe rozwiązania w niektórych przypadkach rozleniwiają deweloperów i wyłączają u nich konieczność pamiętania o niektórych aspektach. Co możemy zrobić w tej sytuacji? Przede wszystkim powinniśmy wykonać aktualizację witryny, oraz wszystkich zainstalowanych na niej dodatków. Wtyczki zbędne i nieużywane wyłączmy i skasujmy. Jeżeli jakieś z nich nie są od dawna aktualizowane, warto poszukać darmowych zamienników. Możemy także ręcznie przeszukać pliki na serwerze w poszukiwaniu wspomnianych funkcji i sprawdzić, czy są zabezpieczone. Dokumentacja Wordpressa została już poprawiona i informuje programistów, że powinni dodatkowo korzystać z funkcji esc_url, która zabezpiecza adresy i usuwa z nich niebezpieczne ciągi znaków. Oprogramowanie Udostępnij: © dobreprogramy Zgłoś błąd w publikacji