Avaleht
uus teema   vasta Uudised »  Turvalisus »  WordPressis on leitud sügav turvaauk märgi kõik teemad loetuks
märgi mitteloetuks
vaata eelmist teemat :: vaata järgmist teemat
Hinnavaatlus :: Foorum :: Uudised :: Ärifoorumid :: HV F1 ennustusvõistlus :: Pangalink :: Telekavad :: HV toote otsing
autor
sõnum Saada viide sõbrale. Teata moderaatorile
otsing:  
gynterk
HV kasutaja

liitunud: 17.01.2004




sõnum 27.11.2014 16:25 WordPressis on leitud sügav turvaauk vasta tsitaadiga

link :: RIA - WordPressis on leitud sügav turvaauk


Populaarses veebitarkvaras WordPress on avastatud suur turvaauk, mis võimaldab kommentaariumisse sisestatud pahatahtliku programmikoodi abil enda valdusesse saada administraatori konto.

Kindlasti tuleks kõikidel WordPressi omanikel teostada ära uuendamine uusimale versioonile. Uuenduse käigus võivad lakata töötamast kolmanda osapoole lisad ning seetõttu tuleks eelnevalt veenduda, kas neist on ka uusimat versiooni väljas ja samuti need ära uuendada. Olenemata sellest, ei ole soovituslik jätta WordPressi uuendamata, sest vastasel juhul on ründajal kontroll terve Teie lehe ja failide üle.
Kommentaarid: 5 loe/lisa Kasutajad arvavad:  :: 0 :: 0 :: 5
tagasi üles
vaata kasutaja infot saada privaatsõnum mine selle kasutaja kodulehele
Dogbert
HV Guru
Dogbert

liitunud: 03.05.2004




sõnum 27.11.2014 21:59 vasta tsitaadiga

WP uuendab ennast ju automaatselt - tahad siis või ei taha. Näiteks lehel, mille administreerimine on üks minu tööülesannetest, olid uuendused spetsiaalselt minu enda poolt paigaldatud plugina abil minu meelest blokeeritud (et midagi katki ei läheks automaatsete uuendustega - ei usalda seda), sellegipoolest tuli v4.0.1 WP selga minu nõusolekuta juba nädal tagasi vist.

Igasugune anonüümne postitamine ja spämmimine on seal nagunii kinni keeratud, nii et ei see ega ükski varasem anonüümsete postitustega kaasnevatest turvaprobleemidest ei mõjutanud seda nagunii.

_________________
Tee inimesele lõke ja tal on soe üheks päevaks, pista ta põlema ja tal on soe elu lõpuni. (Terry Pratchett)
poliitiline korrektsus
- doktriin, mis on seisukohal, et sitajunni on võimalik end määrimata üles noppida, kui haarata selle puhtast otsast (lüh, Uncyclopedia)
Kommentaarid: 32 loe/lisa Kasutajad arvavad:  :: 0 :: 0 :: 31
tagasi üles
vaata kasutaja infot saada privaatsõnum
UB
HV Guru
UB

liitunud: 26.12.2002




sõnum 27.11.2014 22:27 vasta tsitaadiga

Tegelikult ei pruugi need automaatsed uuendused töötada kui WP on pikka aega uuendamata. Need automaatsed uuendamised tulid vist mingi pool aastat tagasi alles.
Kommentaarid: 43 loe/lisa Kasutajad arvavad:  :: 0 :: 1 :: 37
tagasi üles
vaata kasutaja infot saada privaatsõnum mine selle kasutaja kodulehele
gynterk
HV kasutaja

liitunud: 17.01.2004




sõnum 27.11.2014 23:46 vasta tsitaadiga

Dogbert kirjutas:
WP uuendab ennast ju automaatselt - tahad siis või ei taha. Näiteks lehel, mille administreerimine on üks minu tööülesannetest, olid uuendused spetsiaalselt minu enda poolt paigaldatud plugina abil minu meelest blokeeritud (et midagi katki ei läheks automaatsete uuendustega - ei usalda seda), sellegipoolest tuli v4.0.1 WP selga minu nõusolekuta juba nädal tagasi vist.


Automaagiline uuendamine tuli AFAIK alates WP 3.7-st ja see uuendab automaatselt ainult minoorseid (ehk siis X.Y.Z versioonisüntaksi puhul ainult Y ja Z muudatusi) väljalaskeid.

Dogbert kirjutas:
Igasugune anonüümne postitamine ja spämmimine on seal nagunii kinni keeratud, nii et ei see ega ükski varasem anonüümsete postitustega kaasnevatest turvaprobleemidest ei mõjutanud seda nagunii.


Reaalsus on kahjuks see, et kuna vaikimisi on kommenteerimine lubatud, siis paljude veebide puhul see kahjuks nii jääbki.

UB kirjutas:
Tegelikult ei pruugi need automaatsed uuendused töötada kui WP on pikka aega uuendamata. Need automaatsed uuendamised tulid vist mingi pool aastat tagasi alles.


Kahjuks nii see on ja 2+ aastat vanade WPde kogus on ikka päris suur.
Kommentaarid: 5 loe/lisa Kasutajad arvavad:  :: 0 :: 0 :: 5
tagasi üles
vaata kasutaja infot saada privaatsõnum mine selle kasutaja kodulehele
scrapper
HV kasutaja

liitunud: 09.01.2006




sõnum 28.11.2014 14:20 vasta tsitaadiga

Kas see auk mitte ei eelda kommenteerimise lubamist?
Kommentaarid: 10 loe/lisa Kasutajad arvavad:  :: 0 :: 0 :: 10
tagasi üles
vaata kasutaja infot saada privaatsõnum
RassK
HV Guru
RassK

liitunud: 17.01.2007



Autoriseeritud ID-kaardiga

sõnum 30.11.2014 01:01 vasta tsitaadiga

Uudis tundub küll väga mööda olevat, või siis kirjutaja ei viitsinud üldse tehnilist teksti lugeda.

Sisuliselt on tegu PHP Backdooriga (CryptoPHP). Levitatakse seda mitmete populaarsete moodulite kaudu (enamasti originaalis tasulised), kuhu on paigaldatud backdoor ning uuesti tasuta suvalisel lehel hostitud. Backdoor ise peitub failis social.png, mis tegelikult pole pilt vaid php kood mis lihtsalt include funktsiooni abil lisatakse. Scripti jooksutatakse ainult kui lehel on külastaja, logitud kasutaja puhul ei toimu midagi taustal. Scripti ülesandeks on luua eraldi uus admin kasutaja ning suhelda peaserveritega kas siis üle curl'i, socket'i või emaili. Lisaks moonutatakse SEO pilti robotitele, et tõsta mingeid mängurlus saite googles ette, muud kasutajad erinevust ei näe.

Ehk siis kui scripti välja juurid ei tasu unustada ka kasutajate andmebaasi korrastamata jätmist. Nagu ma aru sain, siis backdoor võimaldab ka manuaalselt tuumikfailide muutmist, seega teoreetiliselt saab igaüks ligi, kui leht on nakatunud - tuleb vaid teada kuidas backdooriga suhelda. Kuna nakatujatel on selle source olemas, siis võta ja loe vaid icon_smile.gif

Kõige rohkem peaks kartma need, kes on üritanud kolmanda osapoole pluginaid kuskilt x-saidilt alla tõmmata. Jutt ei käi ainult Wordpressist vaid ka Joomla ja Drupali kohta. Võimalus on, et ka mingite muude süsteemide (PHP CMS vms) kohta, kuna antud backdoori integreerimine on ülimalt lihtne.

_________________
...
Kommentaarid: 102 loe/lisa Kasutajad arvavad:  :: 0 :: 0 :: 88
tagasi üles
vaata kasutaja infot saada privaatsõnum
gynterk
HV kasutaja

liitunud: 17.01.2004




sõnum 30.11.2014 17:56 vasta tsitaadiga

Tundub ajate hetkel kaks erinevat teemat sassi: WP kommentaariumi auk ja CrytoPHP Shell.

Täpsem tehniline info antud WP augu kohta on sellel veebil (inglise keeles).

Tsiteerin:
tsitaat:
A security flaw in WordPress 3 allows injection of JavaScript into certain text fields. In particular, the problem affects comment boxes on WordPress posts and pages. These don't require authentication by default.

The JavaScript injected into a comment is executed when the target user views it, either on a blog post, a page, or in the Comments section of the administrative Dashboard.


CryptoPHP Shell

Nende juhtumitega, millega tegelenud, siis mulle on jäänud, et see social.png on lihtsalt järjekordne PHP Shell, mis on WP failide alla laetud nt kasutades ära just antud viga WP koodis. Selliseid leian (konkreetselt seda varem ka märganud) mõnikord mistahes WP versioonide alt ja üldjuhul on need sinna laetud kas lekkinud FTP konto andmete kaudu või lekkinud/ära arvatavate WP admin ligipääsude kaudu. Lihtsalt praegune kirjeldatud auk seoses kommentaaridega on Shellide hulka tunduvalt tõstnud. Kogu see asi on kenasti ja põhjalikult ära selgitatud Fox IT CryptoPHP whitepaperis, kus on välja toodud ka põhilised levimisallikad (piraaditud themed, kolmanda osapoole plug-inad, st nn nulled asjad).


scrapper kirjutas:
Kas see auk mitte ei eelda kommenteerimise lubamist?


Nii palju, kui lugedes aru saanud, siis eeldab küll. Suuremat tähelepanu on see saanud just seetõttu, et WP-l on kommentaarium vaikimisi sees.
Kommentaarid: 5 loe/lisa Kasutajad arvavad:  :: 0 :: 0 :: 5
tagasi üles
vaata kasutaja infot saada privaatsõnum mine selle kasutaja kodulehele
RassK
HV Guru
RassK

liitunud: 17.01.2007



Autoriseeritud ID-kaardiga

sõnum 30.11.2014 21:24 vasta tsitaadiga

Ohjaa... RIA on uudise ikka korralikult kokku käkerdanud.

Sisuliselt jah, esimesel juhul on korralik fail core tiimi poolt, mis lubab teatud tekstivälju XSS meetodiga ära kasutada (failivaks moodulik on WP-Statistics). Kommentaarium siis kõige kasulikum, kuna kommentaar sisestatakse kogu täiega ilusti andmebaasi ja kui nüüd administraator seda lugema juhtub, siis on piisavalt õigusi script käima tõmmata - ehk siis teha, mida iganes scriptijal mõttes oli.

CryptoPHP Shell ei tundu küll peale kasutaja enda lolluse muud ära kasutama. Kui sa ikka ise vabatahtlikult backdooritud mooduli endale installid, siis tõenäoliselt ei päästa sind miski selle eest.

_________________
...
Kommentaarid: 102 loe/lisa Kasutajad arvavad:  :: 0 :: 0 :: 88
tagasi üles
vaata kasutaja infot saada privaatsõnum
pyromaan
HV kasutaja
pyromaan

liitunud: 30.04.2002




sõnum 27.12.2014 13:43 vasta tsitaadiga

http://wptavern.com/critical-security-vulnerability-found-in-wordpress-slider-revolution-plugin-immediate-update-advised
http://blog.sucuri.net/2014/09/slider-revolution-plugin-critical-vulnerability-being-exploited.html
https://www.youtube.com/watch?v=8wlTaWnhSvQ

Päris õudne kui palju on mõjutatud ...

_________________
[img:]https://foorum.hinnavaatlus.ee/images/200x40_HV.gif[/img:]
Kommentaarid: 14 loe/lisa Kasutajad arvavad:  :: 0 :: 0 :: 14
tagasi üles
vaata kasutaja infot saada privaatsõnum
näita postitusi alates eelmisest:   
uus teema   vasta Uudised »  Turvalisus »  WordPressis on leitud sügav turvaauk
[vaata eelmist teemat] [vaata järgmist teemat]
 lisa lemmikuks
näita foorumit:  
 ignoreeri teemat 
sa ei või postitada uusi teemasid siia foorumisse
sa ei või vastata selle foorumi teemadele
sa ei või muuta oma postitusi selles foorumis
sa ei või kustutada oma postitusi selles foorumis
sa ei või vastata küsitlustele selles foorumis
sa ei saa lisada manuseid selles foorumis
sa võid manuseid alla laadida selles foorumis



Hinnavaatlus ei vastuta foorumis tehtud postituste eest.