WordPress’i 4.7.2 paikab väga olulise turvaaugu

Peeter Marvet
Jaga:

WordPressi versiooni 4.7.2 ilmumisest teatanud ametlikus blogipostis oli mainitud mitut turvapaika, aga taotluslikult puudus sealt üks väga oluline – nimelt oli Sucuri avastanud võimaluse kasutada ära versioonides 4.7 ja 4.7.1 vaikimisi lubatud REST-rakendusliidest postituste ja lehtede sisu meelevaldseks muutmiseks (“content injection“), mis sõltuvalt kasutusel olevatest pluginatest/teemadest võib olla eskaleeritav ka PHP koodi käivitamiseks (“remote code execution“).

Teavitamisega viivitati, andmaks automaatsete uuendustega veebidele aega uue versiooni paigaldamiseks. Samuti liikus eelhoiatus “asjaomastest infoturberingkondades”.

Mida see tähendab?

Tõenäoliselt hakkame lähitundidel nägema WordPresside vastu suunatud rünnakukatseid, kus proovitakse muuta postituste sisu lisamaks näiteks SEO-spämmi ehk linke kurjategijate poolt promotavatele veebidele – või siis koodi, mis suunab kasutajad pahavara levitavatele lehtedele.

Kui kasutad WordPressi ja sul on kasutusel versioon 4.7 või 4.7.1 mida pole veel automaatselt uuendatud versioonile 4.7.2 (või sa pole selles kindel), siis logi haldusliidesesse sisse ja käivita uuendus – või löö oma veebimeister maast lahti. Hiljem veebisisu puhastamine on oluliselt kallim, eriti arvestades vajadust kontrollida üle mitte ainult serveris olevad failid, vaid ka postituste sisu. Isegi see, kui uuenduse käigus midagi katki peaks minema ja parandamist nõudma (üsna vähetõenäoline) on suurusjärgu või paari jagu väiksem kulu võrreldes veebi puhastamise vajadusega.

Zone Virutaalserverite “farmil” kaitsvad loitsud peal

Olen nüüd loodetavasti piisavalt rõhutanud uuendamise vajadust ja võin ka vaikselt mainida, et kuna Sucuri avaldas probleemi analüüsi, siis oli sellest võimalik tuletada ka kaitseviis – ning me sund-paigaldasime selle kõikidesse meie hallatavatesse serveritesse, eeldatavasti probleeme tekitavate kõrvalmõjudeta. Samuti oleme hoidnud silma peal Zone+ uuendustel, et kõik kellel väiksed uuendused lubatud on saaksid endale 4.7.2 peale.

Kui su WordPress on majutatud mõne teise teenusepakkuja juures ja puudub võimalus uuendamiseks (aga saad lisada pluginaid), siis on abi Disable REST API pluginast. Samas ma soovitaks sellisel puhul arendajale otsa (kui oled arendaja, siis peeglisse) vaadata ja küsida, et miks ei saa kohe ja automaatselt uuendada.

Kui oled teenusepakkuja nagu meie – siis võiksid lisada ka oma serveritesse reeglid… aga kuna WP ja Sucuri hetkel neid välja ei jaga (mõnevõrra küsitav taktika, kuna ründeviis on üsna hästi kirjas), siis ütleme inimkeeles, et kinni tuleks keerata post-put-patch meetodid wp-json/wp/v2/posts/ endpoint’i vastu (soovitavalt ainult olukorras, kus seal sabas on midagi muud peale numbrite).

Täiendet – ka get vajab reegleid, sest sealtkaudu saab vajadusel teise _method’i anda, vajadusel võib mul privas küsida reegleid mida WP core tiim suurte teenusepakkujatega jagas.

Populaarsed postitused

Veelkord aegunud PHP versioonidest

Kaarel Urva
Mäletatavasti teavitasime aprilli lõpus kliente sellest, et aegunud PHP versioonide kasutamine muutub tasuliseks. Mõistetavasti tuli see uudis paljudele...

Peagi saabub WooCommerce 9.0

Ingmar Aasoja
Kui räägime veebilehtedest, siis mõtleme sageli WordPressile. Kui lisame jutule e-poe, siis enamasti räägime WooCommerce'ist. WooCommerce on paljude...

PHP versiooniuuenduste strateegiad

Ingmar Aasoja
See, et aegunud PHP on koormaks nii meile kui ka klientidele, on korduvalt läbikäidud teema. Seetõttu oleme ette võtnud teekonna, millega püüame...

BIMI ja DMARC ei pruugi päästa: Tähelepanuta jäänud DKIM haavatavus

blogi
Zone spetsialistid märkasid DKIM standardis olevate hoiatuste ignoreerimisest tulenenud haavatavust, mis mõjutab kogu e-posti ökosüsteemi ja paneb...