Wiele dodatków do Wordpressa wymaga natychmiastowej aktualizacji Strona główna Aktualności22.04.2015 11:09 Udostępnij: O autorze Łukasz Tkacz Nieścisłość w oficjalnej dokumentacji Wordpressa dla deweloperów doprowadziła do tego, że wiele z wtyczek dla niego jest podatnych na atak. Na liście znajduje się przynajmniej 17 bardzo popularnych dodatków, jeżeli więc korzystacie z tego systemu zarządzania treścią, jak najszybciej zaktualizujcie je do najnowszych wersji. Odkrycia dokonali pracownicy firmy Scrutinizer zajmujący się badaniem i testowaniem oprogramowania. O problemach została następnie powiadomiona firma Yoast zajmująca się tworzeniem wielu dodatków do Wordpressa – to m.in. wśród nich znaleziono podatność. Problem jest związany z funkcjami add_query_arg, a także remove_query_arg, z których mogą korzystać deweloperzy tworzący rozszerzenia dla popularnego CMSsa. Odpowiadają one za modyfikację ciągów zapytań w adresach, niestety nie były dostatecznie opisane w oficjalnej dokumentacji i w efekcie deweloperzy nie zastosowali odpowiednich zabezpieczeń. Parametry przekazywane do wspomnianych funkcji nie są automatycznie filtrowane (a tak się wielu osobom wydawało), w efekcie możliwe jest wykonanie ataku XSS. Jak się okazało, w podobny, także niebezpieczny sposób funkcje wykorzystano i w innych popularnych dodatkach. Na liście zagrożonych znajdziemy m.in. pakiet Jetpack do kompleksowej modyfikacji Wordpressa, WPTouch oferujący wersję mobilną, Broken-Link-Checker, często stosowany All In One SEO, a także Related Posts for Wordpress. Lista zagrożonych dodatków jak na razie zawiera 17 pozycji, ale może być znacznie dłuższa – tak naprawdę każdy z dodatków używających tych funkcji może stanowić zagrożenie. Wszystko zależy od tego, jak zachowali się ich autorzy i czy samodzielnie testowali efekty działania funkcji udostępnianych w Wordpressie. Ciekawostką jest to, że problem został zauważony dawno temu i był już sygnalizowany wcześniej: niektórzy z deweloperów natknęli się na niego już w 2013 roku. Mike Jolley z zespołu WooThemes opisał wtedy dobre praktyki stosowania wspomnianych funkcji nie zapominając o konieczności filtrowania danych. Niestety, nie każdy z programistów wiedział, że należy zrobić to samodzielnie. Najwyraźniej gotowe rozwiązania w niektórych przypadkach rozleniwiają deweloperów i wyłączają u nich konieczność pamiętania o niektórych aspektach. Co możemy zrobić w tej sytuacji? Przede wszystkim powinniśmy wykonać aktualizację witryny, oraz wszystkich zainstalowanych na niej dodatków. Wtyczki zbędne i nieużywane wyłączmy i skasujmy. Jeżeli jakieś z nich nie są od dawna aktualizowane, warto poszukać darmowych zamienników. Możemy także ręcznie przeszukać pliki na serwerze w poszukiwaniu wspomnianych funkcji i sprawdzić, czy są zabezpieczone. Dokumentacja Wordpressa została już poprawiona i informuje programistów, że powinni dodatkowo korzystać z funkcji esc_url, która zabezpiecza adresy i usuwa z nich niebezpieczne ciągi znaków. Oprogramowanie Udostępnij: © dobreprogramy Zgłoś błąd w publikacji Zobacz także Dyski sieciowe Western Digital narażone na atak: luka znana od ponad roku jest wciąż niezałatana 19 wrz 2018 Oskar Ziomek Oprogramowanie Sprzęt Bezpieczeństwo 43 Zmiany w dodatkach do Chrome'a: więcej kontroli dla użytkowników, mniej swobody dla twórców 1 paź 2018 Oskar Ziomek Oprogramowanie Internet 19 Programiści są sprytniejsi od zabezpieczeń w Chrome. Szkodliwe dodatki wciąż łatwo pobrać 12 paź 2018 Oskar Ziomek Oprogramowanie Internet Bezpieczeństwo 21 Ile jest warta wiedza o nowych lukach w Androidzie? Google wydał dotąd 3 mln dolarów 21 wrz 2018 Oskar Ziomek Oprogramowanie Biznes Bezpieczeństwo 16
Udostępnij: O autorze Łukasz Tkacz Nieścisłość w oficjalnej dokumentacji Wordpressa dla deweloperów doprowadziła do tego, że wiele z wtyczek dla niego jest podatnych na atak. Na liście znajduje się przynajmniej 17 bardzo popularnych dodatków, jeżeli więc korzystacie z tego systemu zarządzania treścią, jak najszybciej zaktualizujcie je do najnowszych wersji. Odkrycia dokonali pracownicy firmy Scrutinizer zajmujący się badaniem i testowaniem oprogramowania. O problemach została następnie powiadomiona firma Yoast zajmująca się tworzeniem wielu dodatków do Wordpressa – to m.in. wśród nich znaleziono podatność. Problem jest związany z funkcjami add_query_arg, a także remove_query_arg, z których mogą korzystać deweloperzy tworzący rozszerzenia dla popularnego CMSsa. Odpowiadają one za modyfikację ciągów zapytań w adresach, niestety nie były dostatecznie opisane w oficjalnej dokumentacji i w efekcie deweloperzy nie zastosowali odpowiednich zabezpieczeń. Parametry przekazywane do wspomnianych funkcji nie są automatycznie filtrowane (a tak się wielu osobom wydawało), w efekcie możliwe jest wykonanie ataku XSS. Jak się okazało, w podobny, także niebezpieczny sposób funkcje wykorzystano i w innych popularnych dodatkach. Na liście zagrożonych znajdziemy m.in. pakiet Jetpack do kompleksowej modyfikacji Wordpressa, WPTouch oferujący wersję mobilną, Broken-Link-Checker, często stosowany All In One SEO, a także Related Posts for Wordpress. Lista zagrożonych dodatków jak na razie zawiera 17 pozycji, ale może być znacznie dłuższa – tak naprawdę każdy z dodatków używających tych funkcji może stanowić zagrożenie. Wszystko zależy od tego, jak zachowali się ich autorzy i czy samodzielnie testowali efekty działania funkcji udostępnianych w Wordpressie. Ciekawostką jest to, że problem został zauważony dawno temu i był już sygnalizowany wcześniej: niektórzy z deweloperów natknęli się na niego już w 2013 roku. Mike Jolley z zespołu WooThemes opisał wtedy dobre praktyki stosowania wspomnianych funkcji nie zapominając o konieczności filtrowania danych. Niestety, nie każdy z programistów wiedział, że należy zrobić to samodzielnie. Najwyraźniej gotowe rozwiązania w niektórych przypadkach rozleniwiają deweloperów i wyłączają u nich konieczność pamiętania o niektórych aspektach. Co możemy zrobić w tej sytuacji? Przede wszystkim powinniśmy wykonać aktualizację witryny, oraz wszystkich zainstalowanych na niej dodatków. Wtyczki zbędne i nieużywane wyłączmy i skasujmy. Jeżeli jakieś z nich nie są od dawna aktualizowane, warto poszukać darmowych zamienników. Możemy także ręcznie przeszukać pliki na serwerze w poszukiwaniu wspomnianych funkcji i sprawdzić, czy są zabezpieczone. Dokumentacja Wordpressa została już poprawiona i informuje programistów, że powinni dodatkowo korzystać z funkcji esc_url, która zabezpiecza adresy i usuwa z nich niebezpieczne ciągi znaków. Oprogramowanie Udostępnij: © dobreprogramy Zgłoś błąd w publikacji