Hinnavaatlus
:: Foorum
:: Uudised
:: Ärifoorumid
:: HV F1 ennustusvõistlus
:: Pangalink
:: Telekavad
:: HV toote otsing
|
|
autor |
sõnum |
|
gynterk
HV kasutaja
liitunud: 17.01.2004
|
27.11.2014 16:25:58
WordPressis on leitud sügav turvaauk |
|
|
link :: RIA - WordPressis on leitud sügav turvaauk
Populaarses veebitarkvaras WordPress on avastatud suur turvaauk, mis võimaldab kommentaariumisse sisestatud pahatahtliku programmikoodi abil enda valdusesse saada administraatori konto.
Kindlasti tuleks kõikidel WordPressi omanikel teostada ära uuendamine uusimale versioonile. Uuenduse käigus võivad lakata töötamast kolmanda osapoole lisad ning seetõttu tuleks eelnevalt veenduda, kas neist on ka uusimat versiooni väljas ja samuti need ära uuendada. Olenemata sellest, ei ole soovituslik jätta WordPressi uuendamata, sest vastasel juhul on ründajal kontroll terve Teie lehe ja failide üle.
|
|
Kommentaarid: 5 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
5 |
|
tagasi üles |
|
|
Dogbert
HV Guru
liitunud: 03.05.2004
|
27.11.2014 21:59:47
|
|
|
WP uuendab ennast ju automaatselt - tahad siis või ei taha. Näiteks lehel, mille administreerimine on üks minu tööülesannetest, olid uuendused spetsiaalselt minu enda poolt paigaldatud plugina abil minu meelest blokeeritud (et midagi katki ei läheks automaatsete uuendustega - ei usalda seda), sellegipoolest tuli v4.0.1 WP selga minu nõusolekuta juba nädal tagasi vist.
Igasugune anonüümne postitamine ja spämmimine on seal nagunii kinni keeratud, nii et ei see ega ükski varasem anonüümsete postitustega kaasnevatest turvaprobleemidest ei mõjutanud seda nagunii.
_________________ Tee inimesele lõke ja tal on soe üheks päevaks, pista ta põlema ja tal on soe elu lõpuni. (Terry Pratchett)
e.k spikker: muhk on kumer, lohk on nõgus. |
|
Kommentaarid: 33 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
32 |
|
tagasi üles |
|
|
UB
HV Guru
liitunud: 26.12.2002
|
27.11.2014 22:27:01
|
|
|
Tegelikult ei pruugi need automaatsed uuendused töötada kui WP on pikka aega uuendamata. Need automaatsed uuendamised tulid vist mingi pool aastat tagasi alles.
|
|
Kommentaarid: 43 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
1 :: |
37 |
|
tagasi üles |
|
|
gynterk
HV kasutaja
liitunud: 17.01.2004
|
27.11.2014 23:46:06
|
|
|
Dogbert kirjutas: |
WP uuendab ennast ju automaatselt - tahad siis või ei taha. Näiteks lehel, mille administreerimine on üks minu tööülesannetest, olid uuendused spetsiaalselt minu enda poolt paigaldatud plugina abil minu meelest blokeeritud (et midagi katki ei läheks automaatsete uuendustega - ei usalda seda), sellegipoolest tuli v4.0.1 WP selga minu nõusolekuta juba nädal tagasi vist. |
Automaagiline uuendamine tuli AFAIK alates WP 3.7-st ja see uuendab automaatselt ainult minoorseid (ehk siis X.Y.Z versioonisüntaksi puhul ainult Y ja Z muudatusi) väljalaskeid.
Dogbert kirjutas: |
Igasugune anonüümne postitamine ja spämmimine on seal nagunii kinni keeratud, nii et ei see ega ükski varasem anonüümsete postitustega kaasnevatest turvaprobleemidest ei mõjutanud seda nagunii. |
Reaalsus on kahjuks see, et kuna vaikimisi on kommenteerimine lubatud, siis paljude veebide puhul see kahjuks nii jääbki.
UB kirjutas: |
Tegelikult ei pruugi need automaatsed uuendused töötada kui WP on pikka aega uuendamata. Need automaatsed uuendamised tulid vist mingi pool aastat tagasi alles. |
Kahjuks nii see on ja 2+ aastat vanade WPde kogus on ikka päris suur.
|
|
Kommentaarid: 5 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
5 |
|
tagasi üles |
|
|
scrapper
HV kasutaja
liitunud: 09.01.2006
|
28.11.2014 14:20:01
|
|
|
Kas see auk mitte ei eelda kommenteerimise lubamist?
|
|
Kommentaarid: 10 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
10 |
|
tagasi üles |
|
|
RassK
HV Guru
liitunud: 17.01.2007
|
30.11.2014 01:01:03
|
|
|
Uudis tundub küll väga mööda olevat, või siis kirjutaja ei viitsinud üldse tehnilist teksti lugeda.
Sisuliselt on tegu PHP Backdooriga (CryptoPHP). Levitatakse seda mitmete populaarsete moodulite kaudu (enamasti originaalis tasulised), kuhu on paigaldatud backdoor ning uuesti tasuta suvalisel lehel hostitud. Backdoor ise peitub failis social.png, mis tegelikult pole pilt vaid php kood mis lihtsalt include funktsiooni abil lisatakse. Scripti jooksutatakse ainult kui lehel on külastaja, logitud kasutaja puhul ei toimu midagi taustal. Scripti ülesandeks on luua eraldi uus admin kasutaja ning suhelda peaserveritega kas siis üle curl'i, socket'i või emaili. Lisaks moonutatakse SEO pilti robotitele, et tõsta mingeid mängurlus saite googles ette, muud kasutajad erinevust ei näe.
Ehk siis kui scripti välja juurid ei tasu unustada ka kasutajate andmebaasi korrastamata jätmist. Nagu ma aru sain, siis backdoor võimaldab ka manuaalselt tuumikfailide muutmist, seega teoreetiliselt saab igaüks ligi, kui leht on nakatunud - tuleb vaid teada kuidas backdooriga suhelda. Kuna nakatujatel on selle source olemas, siis võta ja loe vaid
Kõige rohkem peaks kartma need, kes on üritanud kolmanda osapoole pluginaid kuskilt x-saidilt alla tõmmata. Jutt ei käi ainult Wordpressist vaid ka Joomla ja Drupali kohta. Võimalus on, et ka mingite muude süsteemide (PHP CMS vms) kohta, kuna antud backdoori integreerimine on ülimalt lihtne.
|
|
Kommentaarid: 111 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
97 |
|
tagasi üles |
|
|
gynterk
HV kasutaja
liitunud: 17.01.2004
|
30.11.2014 17:56:16
|
|
|
Tundub ajate hetkel kaks erinevat teemat sassi: WP kommentaariumi auk ja CrytoPHP Shell.
Täpsem tehniline info antud WP augu kohta on sellel veebil (inglise keeles).
Tsiteerin:
tsitaat: |
A security flaw in WordPress 3 allows injection of JavaScript into certain text fields. In particular, the problem affects comment boxes on WordPress posts and pages. These don't require authentication by default.
The JavaScript injected into a comment is executed when the target user views it, either on a blog post, a page, or in the Comments section of the administrative Dashboard. |
CryptoPHP Shell
Nende juhtumitega, millega tegelenud, siis mulle on jäänud, et see social.png on lihtsalt järjekordne PHP Shell, mis on WP failide alla laetud nt kasutades ära just antud viga WP koodis. Selliseid leian (konkreetselt seda varem ka märganud) mõnikord mistahes WP versioonide alt ja üldjuhul on need sinna laetud kas lekkinud FTP konto andmete kaudu või lekkinud/ära arvatavate WP admin ligipääsude kaudu. Lihtsalt praegune kirjeldatud auk seoses kommentaaridega on Shellide hulka tunduvalt tõstnud. Kogu see asi on kenasti ja põhjalikult ära selgitatud Fox IT CryptoPHP whitepaperis, kus on välja toodud ka põhilised levimisallikad (piraaditud themed, kolmanda osapoole plug-inad, st nn nulled asjad).
scrapper kirjutas: |
Kas see auk mitte ei eelda kommenteerimise lubamist? |
Nii palju, kui lugedes aru saanud, siis eeldab küll. Suuremat tähelepanu on see saanud just seetõttu, et WP-l on kommentaarium vaikimisi sees.
|
|
Kommentaarid: 5 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
5 |
|
tagasi üles |
|
|
RassK
HV Guru
liitunud: 17.01.2007
|
30.11.2014 21:24:16
|
|
|
Ohjaa... RIA on uudise ikka korralikult kokku käkerdanud.
Sisuliselt jah, esimesel juhul on korralik fail core tiimi poolt, mis lubab teatud tekstivälju XSS meetodiga ära kasutada (failivaks moodulik on WP-Statistics). Kommentaarium siis kõige kasulikum, kuna kommentaar sisestatakse kogu täiega ilusti andmebaasi ja kui nüüd administraator seda lugema juhtub, siis on piisavalt õigusi script käima tõmmata - ehk siis teha, mida iganes scriptijal mõttes oli.
CryptoPHP Shell ei tundu küll peale kasutaja enda lolluse muud ära kasutama. Kui sa ikka ise vabatahtlikult backdooritud mooduli endale installid, siis tõenäoliselt ei päästa sind miski selle eest.
|
|
Kommentaarid: 111 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
97 |
|
tagasi üles |
|
|
pyromaan
HV kasutaja
liitunud: 30.04.2002
|
|
Kommentaarid: 14 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
14 |
|
tagasi üles |
|
|
|