URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 91667
[ Назад ]
Исходное сообщение
"Обновление WordPress 3.6.1 с устранением уязвимостей"
Отправлено opennews , 12-Сен-13 10:17 
В системе управления web-контентом WordPress, используемой примерно на 18% (http://wordpress.org/news/2013/05/ten-good-years/) из миллиона самых популярных сайтов в Сети, обнаружена (http://vagosec.org/2013/09/wordpress-php-object-injection/) опасная уязвимость, потенциально позволяющая организовать выполнение PHP-кода на сервере.

Проблема проявляется из-за возможности обмануть проверку использования сериализированных данных и инициировать подстановку в БД подготовленного атакующим сериализированного блока, при распаковке которого можно организовать подмену параметров PHP-объектов  WordPress и добиться выполнения PHP-кода. Опасность проблемы снижает необходимость наличия специфичных условий для эксплуатации, например, прототип эксплоита удалось создать только для выполнения кода через класс стороннего плагина к WordPress, найти штатные классы WordPress, содержащие изначально определённые методы, вызываемые поле выполнения unserialize(), не удалось. Кроме того, разработчики WordPress выяснили, что проблема не проявляется в конфигурациях с MySQL, в которых игнорируется хвост UTF8-последовательности при выявлении неполного многобайтового Unicode-символа.


Уязвимость устранена (http://wordpress.org/news/2013/09/wordpress-3-6-1/) в экстренно выпущенном релизе WordPress 3.6.1 (http://wordpress.org). Пользователям WordPress рекомендуется незамедлительно установить обновление.
В выпуске 3.6.1 также устранены ещё две неприятные уязвиомости: проблема, позволяющая пользователю с правами автора сформировать публикацию от имени другого пользователя, и возможность организовать перенаправления пользователя на другой сайт.

URL: http://permalink.gmane.org/gmane.comp.security.oss.general/1...
Новость: http://www.opennet.me/opennews/art.shtml?num=37891

Содержание
Сообщения в этом обсуждении
"Обновление WordPress 3.6.1 с устранением уязвимостей"
Отправлено GG , 12-Сен-13 10:17 
Спасибо, обновлюсь пойду
Хотя все эти проблемы моих вордпрессов не касаются
"Обновление WordPress 3.6.1 с устранением уязвимостей"
Отправлено Аноним , 12-Сен-13 13:05 
Локальный эксплоит?
"Обновление WordPress 3.6.1 с устранением уязвимостей"
Отправлено Fantomas , 12-Сен-13 15:10 
А если сайты делаются для заказчиков их же никто не обновляет.
Поставили и забыли(забили))).
"Обновление WordPress 3.6.1 с устранением уязвимостей"
Отправлено GG , 12-Сен-13 15:42 
> А если сайты делаются для заказчиков их же никто не обновляет.
> Поставили и забыли(забили))).

Значит хреновый заказчик.
У нормального хватит ума или самому обновлять или заплатить за поддержку.

"Обновление WordPress 3.6.1 с устранением уязвимостей"
Отправлено Fantomas , 12-Сен-13 16:27 
В теории да, а на практике поставили и забили )))
"Обновление WordPress 3.6.1 с устранением уязвимостей"
Отправлено asavah , 12-Сен-13 16:10 
WP - одна большая дыра.
Вылечить можно только одним способом - rm -rf
"Обновление WordPress 3.6.1 с устранением уязвимостей"
Отправлено lybin , 12-Сен-13 16:27 
во-во, подобная мысль пришла, что-то очень часто вижу новости что нашли дырку...
"Обновление WordPress 3.6.1 с устранением уязвимостей"
Отправлено Fantomas , 12-Сен-13 16:29 
А как по-поводу замены ВП на Мезанин, есть советы?

ЗЫ
http://mezzanine.jupo.org/docs/content-architecture.html

"Обновление WordPress 3.6.1 с устранением уязвимостей"
Отправлено бедный буратино , 12-Сен-13 17:48 
Новости о Wordpress пишут для того, чтобы удалять комментарии в них. Этакий дигитал мазохизм. :)
"Обновление WordPress 3.6.1 с устранением уязвимостей"
Отправлено Аноним , 12-Сен-13 21:29 
Шигорин только комментарии своих друзей не удаляет
"Обновление WordPress 3.6.1 с устранением уязвимости, которая..."
Отправлено ононим , 13-Сен-13 06:32 
слушайте, а как победить появившуюся в 3.6 неработоспособность визуального редактора? думал, в 3.6.1 устранят, ан нет, балалайко.
"Обновление WordPress 3.6.1 с устранением уязвимости, которая..."
Отправлено GG , 13-Сен-13 10:35 
> слушайте, а как победить появившуюся в 3.6 неработоспособность визуального редактора?
> думал, в 3.6.1 устранят, ан нет, балалайко.

Визуальный редактор никогда не ломался.
Это либо кривой editor.css (70%) вместе со шкурой либо какой-нибудь плагин (20%) либо сами сломали (10%).
В первую очередь включить одну из дефолтных шкур, выключить все плагины и проверить.
Во вторую очередь удалить физически все шкуры и плагины и проверить так.
Если оба способа не помогут – значит сами сломали.
Проверить на чистом вордпрессе и если не работает – значит или хостинг или браузер виноваты.

"Обновление WordPress 3.6.1 с устранением уязвимости, которая..."
Отправлено ононим , 13-Сен-13 15:11 
угу. а в ситуации "ничего не делал, кроме обновления вордпресса" кто виноват?
"Обновление WordPress 3.6.1 с устранением уязвимости, которая..."
Отправлено GG , 13-Сен-13 15:17 
> угу. а в ситуации "ничего не делал, кроме обновления вордпресса" кто виноват?

Браузер или сервер. Сколько лет обновляю вордпрессы – ни разу визуальный редактор не отваливался.

"Обновление WordPress 3.6.1 с устранением уязвимости, которая..."
Отправлено ононим , 13-Сен-13 18:22 
> Браузер или сервер. Сколько лет обновляю вордпрессы – ни разу визуальный редактор
> не отваливался.

Да нет, так-то проблема распространённая, судя по гугелю. Мои вордпрессы ставлены в феврале-марте, последовательно обновлялись, а тут такое вот.

"Обновление WordPress 3.6.1 с устранением уязвимости, которая..."
Отправлено GG , 13-Сен-13 15:18 
А вообще, если серьёзно, была бага давным-давно с обновлением оооочень старых вордпрессов – они не удаляли при обновлении лишние css файлы, но новые компоненты их подхватывали и в результате отображались не так, как надо. Решается ручным удалением остатков от старинных вордпрессов.