WordPress исправила баг с SQL-инъекцией срочным обновлением
Уязвимость обнаружена в системе управления контентом WordPress версии 4.8.2 и ниже. Во вторник WordPress объявила о выпуске версии 4.8.3, в которой опасность уменьшена. Представитель CMS настоятельно рекомендует пользователям немедленно установить обновление.
В чем причина уязвимости?
Уязвимость CVE-2017-14723 возникает в версиях WordPress 4.8.2 и ниже из-за того, что $wpdb->prepare() создает «неожиданные и небезопасные запросы», которые могут привести к SQL-атакам.
По словам команды WordPress, непосредственной опасности ядро WordPress не подвержено, однако в новой версии будет добавлена дополнительная защита, на случай, если плагины или темы случайно спровоцируют проявление этой уязвимости.
Об этой проблеме 20 сентября на платформе HackerOne сообщил Энтони Феррара. Разработчики WordPress уже пытались исправить данную ошибку в версии 4.8.2, однако безопасность ядра так и не была обеспечена. Обновление повлияло на функциональность многих веб-сайтов, потенциально скомпрометировав более 1,2 миллиона строк кода.
На следующий день после релиза Феррара сообщил об ошибке, однако на его запрос несколько недель не обращали внимание. Только после того, как Феррара уведомил команду WordPress о том, что он собирается публично раскрыть эту проблему, и спустя пять недель переговоров, они смогли договориться о времени публичного объявления.
WordPress в сотрудничестве с Феррарой выпустила исправление, которое облегчает проблему. Однако, по словам все того же Феррары, этого недостаточно, чтобы решить проблемы, вызванные предыдущим патчем.
Возможное решение проблемы
Феррара отметил:
Текущее исправление полностью убирает механизм prepare, который возвращает строку SQL-запросов. Сделайте то, что делают и все остальные: возвращайте объект выражения или запроса, либо выполняйте запрос напрямую. Таким образом вы не сможете продублировать строку.Стоит заметить, что данное решение повлечет за собой кардинальные изменения для WP.Не обязательно сразу все менять — можно разрабатывать альтернативное решение параллельно с существующим API. Это будет проблематично, но необходимо.Существующий API небезопасен. Это не значит, что он постоянно подвергается атакам, но означает, что он нуждается в срочной переработке.
«Опасность снижена, — добавил Феррара. — Сначала перспектива сотрудничества не внушала оптимизма, но с течением работы положение улучшалось. Если прошлые 6 недель я был разочарован, то теперь я надеюсь на лучшее».
Установить обновление можно автоматически либо вручную, скачав WordPress 4.8.3.
1К открытий1К показов
На платформе доступны новые инструменты, ускоряющие разработку, реализован чат в GigaCode, а пользоваться GitVerse теперь может малый и средний бизнес.
Президент России Владимир Путин подписал законопроект, который запрещает регистрацию на сайтах через иностранную электронную почту.
Хостинговая компания RUVDS разместила спутник на орбите Земли. Компания предлагает взломать его за 0.1 биткойн или 200 тысяч рублей.
Из найма в IT к управлению собственной компанией Алексей Лихацкий шел более 10 лет. Из года в год индустрия менялась. Появлялись не только новые требования к специалистам, но и профессии. Рассказали о внешних и внутренних переменах рынка и их влиянии на нужные для специалиста навыки.