The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"В WordPress 3.x выявлена уязвимость, позволяющая подставить ..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"В WordPress 3.x выявлена уязвимость, позволяющая подставить ..."  +1 +/
Сообщение от opennews (??), 24-Ноя-14, 18:58 
Все сайты, основанные на системе управления контентом WordPress 3.x и допускающие размещение комментариев к публикациям, подвержены опасной уязвимости (http://klikki.fi/adv/wordpress_press.html), позволяющей атакующему разместить специально оформленный комментарий, при просмотре которого будет выполнен JavaScript код злоумышленника. Для демонстрации опасности выявленной проблемы была подготовлена атака, позволившая незаметно организовать перехват параметров сессии администратора блога, просмотревшего вредоносный комментарий, и использования перехваченной информации для создания новой привилегированной учётной записи и использования редактора плагинов для организации выполнения PHP-кода на сервере.

Недавно представленный выпуск WordPress 4.0 проблеме не подвержен, но разработчики выпустили (https://wordpress.org/news/2014/11/wordpress-4-0-1/) корректирующий выпуск WordPress 4.0.1, в который интегрированы некоторые дополнительные механизмы защиты. На данный выпуск рекомендовано срочно перейти всем пользователей ветки WordPress 3.x, поддержка которой уже прекращена. По предварительной оценке проблема присутствует на примерно 86% сайтов, построенных с использованием WordPress.

URL: http://arstechnica.com/security/2014/11/four-year-old-commen.../
Новость: http://www.opennet.me/opennews/art.shtml?num=41119

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "В WordPress 3.x выявлена уязвимость, позволяющая подставить ..."  +2 +/
Сообщение от Аноним (-), 24-Ноя-14, 18:58 
Авторы WordPress прекратили поддержку 86% сайтов, построенных с использованием WordPress. Нда.
Ответить | Правка | Наверх | Cообщить модератору

4. "В WordPress 3.x выявлена уязвимость, позволяющая подставить ..."  +19 +/
Сообщение от A.Stahl (ok), 24-Ноя-14, 19:12 
Строго говоря авторы ВордПресса не должны заниматься "поддержкой сайтов". Они должны заниматься поддержкой своей программы. Они это делают. Остальное -- проблемы админов сайтов, которые не хотят/не могут обновиться на актуальную версию.
Ответить | Правка | Наверх | Cообщить модератору

5. "В WordPress 3.x выявлена уязвимость, позволяющая подставить ..."  +/
Сообщение от Аноним (-), 24-Ноя-14, 19:58 
Не цепляйся к словам, имелось ввиду «86% своих пользователей», хотя на самом деле это не так, патчи для 3.x вышли, в новости не верно было написано (теперь дополнили).
Ответить | Правка | Наверх | Cообщить модератору

19. "В WordPress 3.x выявлена уязвимость, позволяющая подставить ..."  +1 +/
Сообщение от Аноним (-), 25-Ноя-14, 13:54 
> Для тех, кто не может срочно мигрировать на ветку 4.0, подготовлены внеплановые корректирующие выпуски 3.9.3, 3.8.5 и 3.7.5.

Или Аноним читает новость через строчку?

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

6. "В WordPress 3.x выявлена уязвимость, позволяющая подставить ..."  –4 +/
Сообщение от бедный буратино (ok), 24-Ноя-14, 20:14 
и чё сделать, чтобы поюзать? почему самый смак новости отпустили?
Ответить | Правка | Наверх | Cообщить модератору

7. "В WordPress 3.x выявлена уязвимость, позволяющая подставить ..."  +1 +/
Сообщение от Аноним (-), 24-Ноя-14, 20:41 
Чтоб мамкины хакеры не полезли хакать всё подряд, очевидно.
Ответить | Правка | Наверх | Cообщить модератору

8. "В WordPress 3.x выявлена уязвимость, позволяющая подставить ..."  +4 +/
Сообщение от anonymous (??), 24-Ноя-14, 21:07 
А вот зря. Чем выше активность мамкиных хакеров, тем больше простой народ "у меня нечего хакать" будет думать о безопасности.
Ответить | Правка | Наверх | Cообщить модератору

9. "В WordPress 3.x выявлена уязвимость, позволяющая подставить ..."  +11 +/
Сообщение от бедный буратино (ok), 24-Ноя-14, 21:08 
что за ущемление прав мамкиных хакеров?
Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

11. "В WordPress 3.x выявлена уязвимость, позволяющая подставить ..."  +1 +/
Сообщение от Аноним (-), 24-Ноя-14, 21:38 
> что за ущемление прав мамкиных хакеров?

Скорее ущемление тех кто не умеет читать и ходить по ссылкам - у этих фиников на самом видном месте колоритный PoC выложен :).

Ответить | Правка | Наверх | Cообщить модератору

10. "В WordPress 3.x выявлена уязвимость, позволяющая подставить ..."  –1 +/
Сообщение от Аноним (-), 24-Ноя-14, 21:36 
Настоящие джедаи по ссылкам не ходят и поэтому PoC эти ламаки не нашли. А напрасно, он симпатичную картинку из амиги показывает на уязвимых вордпрессах.
Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

13. "В WordPress 3.x выявлена уязвимость, позволяющая подставить ..."  –1 +/
Сообщение от Аноним (-), 24-Ноя-14, 22:29 
Worm press vs jumpla
Ответить | Правка | Наверх | Cообщить модератору

14. "В WordPress 3.x выявлена уязвимость, позволяющая подставить ..."  +1 +/
Сообщение от th3m3 (ok), 24-Ноя-14, 22:33 
Тогда и Drupal туда же. Недавно сказали, что все сайты, кто не успел обновиться, являются скомпрометированными.
Ответить | Правка | Наверх | Cообщить модератору

15. "В WordPress 3.x выявлена уязвимость, позволяющая подставить ..."  +/
Сообщение от Аноним (-), 25-Ноя-14, 07:19 
Учитывая, сколько дыр регулярно находят (а сколько ещё не нашли!) в Wordpress и Joomla, сайты на этих движках можно считать перманентно скомпрометированными.
Ответить | Правка | Наверх | Cообщить модератору

16. "В WordPress 3.x выявлена уязвимость, позволяющая подставить ..."  +/
Сообщение от Аноним (-), 25-Ноя-14, 10:21 
О! Сотрудники битрикса подвалили. Чо, продажи падают?
Ответить | Правка | Наверх | Cообщить модератору

17. "В WordPress 3.x выявлена уязвимость, позволяющая подставить ..."  +/
Сообщение от Аноним (-), 25-Ноя-14, 10:35 
Ха! В Битриксе дыры заботливо создают сами разрабы платформы, ведь это хлеб для специально обученных обезьян.
Ответить | Правка | Наверх | Cообщить модератору

21. "В WordPress 3.x выявлена уязвимость, позволяющая подставить ..."  +/
Сообщение от Аноним (-), 27-Ноя-14, 16:06 
> Учитывая, сколько дыр регулярно находят (а сколько ещё не нашли!) в Wordpress

И сколько? Обычно дыры - в всяких левых дополнениях. В самом вордпрессе их мало.

> и Joomla, сайты на этих движках можно считать перманентно скомпрометированными.

Как ни странно - и с ней та же история.

Ну и кроме того оба продукта популярны. Да, в Pupkin's CMS дыр нет. Потому что хакеры никак не могут найти хоть 1 инсталляцию, чтобы попытаться ее сломать :)

Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору

18. "В WordPress 3.x выявлена уязвимость, позволяющая подставить ..."  –2 +/
Сообщение от anonymous (??), 25-Ноя-14, 11:00 
Это php, ничего не поделать.
Ответить | Правка | Наверх | Cообщить модератору

20. "В WordPress 3.x выявлена уязвимость, позволяющая подставить ..."  –1 +/
Сообщение от yutoks (?), 25-Ноя-14, 19:34 
Япон-батон, дак хоть бы права на скрипты на чтение выставляли.
Глядишь, и ломалось бы поменьше.
Ответить | Правка | Наверх | Cообщить модератору

22. "В WordPress 3.x выявлена уязвимость, позволяющая подставить ..."  +/
Сообщение от Аноним (-), 27-Ноя-14, 16:08 
> Япон-батон, дак хоть бы права на скрипты на чтение выставляли.
> Глядишь, и ломалось бы поменьше.

Вы что, глупые? Тут проблема в слабой валидации входных данных. При этом не важно на чем она сделана. А права на чтение ... админу? А админить он как потом будет? Может компьютер сразу от сети отключить? Так хакеры уж точно обломаются.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру