The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"В WordPress 5.1.1 устранена уязвимость, позволяющей получить..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"В WordPress 5.1.1 устранена уязвимость, позволяющей получить..."  +/
Сообщение от opennews (?), 14-Мрт-19, 08:25 
Опубликован (https://wordpress.org/news/2019/03/wordpress-5-1-1-security-.../) корректирующий релиз системы управления web-контентом WordPress 5.1.1, в котором устранена CSRF-уязвимость (https://blog.ripstech.com/2019/wordpress-csrf-to-rce/), позволяющая совершить атаку на администратора сайта для выполнения кода на сервере.


Предложенная атака требует, чтобы администратор сайта на базе WordPress открыл в своём браузере подготовленную злоумышленниками страницу, содержащую код для эксплуатации CSRF-уязвимости в обработчике комментариев WordPress. Уязвимость проявляется только на сайтах с включенной поддержкой отправки комментариев. При открытии вредоносной страницы в браузере администратора, от его имени создаётся комментарий к одной из записей на сайте.

Так как администратор обладает расширенными полномочиями по использованию HTML-тегов в комментариях, имеется возможность через манипуляцию с текстом, подставляемым в атрибут "title" тега "а href", добиться выполнения произвольного JavaScript-кода (передать строку вида '" onmouseover=evilCode()'). Имея возможность запуска  JavaScript в контексте сеанса администратора можно отправить запрос в управляющий web-интерфейс и организовать выполнение  PHP-кода через изменение PHP-файлов темы оформления.

В новом выпуске также добавлено предупреждение о повышении требований к версии PHP. Начиная с выпуска WordPress 5.2 в качестве минимально поддерживаемой версии будет заявлен PHP 5.6.  Также планируется поднять требования к версии MySQL до ветки MySQL 5.5. По предварительной оценке около 15% пользователей WordPress 5.0 используют версию PHP ниже 5.6 и им потребуется обновить свои системы. Что касается MySQL, то версии ниже MySQL 5.5 применяет всего 1.5% пользователей WordPress 5.0.


URL: https://wordpress.org/news/2019/03/wordpress-5-1-1-security-.../
Новость: https://www.opennet.ru/opennews/art.shtml?num=50320

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


3. "В WordPress 5.1.1 устранена уязвимость, позволяющей получить..."  +3 +/
Сообщение от istepan (ok), 14-Мрт-19, 08:45 
Стоит отдать должное.
Зашел в админку, нажал кнопку и все обновлено.
Сделал сайт и знай себе обновляй. Благодаря поддержке совместимости плагины не отваливаются.

Дырявым он кажется исключительно из-за своей популярности.

Единственный минус - это спагетти код и неудобное api при написании расширений и плагинов.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "В WordPress 5.1.1 устранена уязвимость, позволяющей получить..."  +3 +/
Сообщение от Онаним (?), 14-Мрт-19, 09:08 
К тому моменту, как ты вспомнишь про админку, твой хостинг уже будет напичкан мейлерами и прочим добром. И это не умозаключение, это практика - у меня полно клиентов с этим добром, которые бэкап раскатывают периодически.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

6. "В WordPress 5.1.1 устранена уязвимость, позволяющей получить..."  –1 +/
Сообщение от Онаним (?), 14-Мрт-19, 09:08 
И да. Хуже только Joomla.
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "В WordPress 5.1.1 устранена уязвимость, позволяющей получить..."  +3 +/
Сообщение от _hide_ (ok), 14-Мрт-19, 09:12 
А Вы не ставьте расширений с помоек...
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

36. "В WordPress 5.1.1 устранена уязвимость, позволяющей получить..."  +/
Сообщение от Аноним (36), 14-Мрт-19, 16:55 
Да мы-то его вообще не юзаем, так-то. На условных 100 клиентов с загруженной малварью за год - 50 на жумле и 40 на вп.
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

38. "В WordPress 5.1.1 устранена уязвимость, позволяющей получить..."  –1 +/
Сообщение от Anonim (??), 14-Мрт-19, 21:52 
За какой год? 2013? Мы про текущее положение дел разговор ведём
Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

45. "В WordPress 5.1.1 устранена уязвимость, позволяющей получить..."  +/
Сообщение от Аноним (36), 15-Мрт-19, 10:31 
С разморозкой. На дворе 2019, так что за 2017 и 18. Впрочем, обилия юзающих версии 15-16 года, потому что апгрейд проблематичен, никто тоже не отменял. У нас до сих пор полно клиентов на пыхе 5.2 и 5.3, потому что их код выше не работает, а адаптировать некому.
Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

49. "В WordPress 5.1.1 устранена уязвимость, позволяющей получить..."  +/
Сообщение от Anonim (??), 15-Мрт-19, 20:32 
Так вы определись бы сначала - новый php (2013+) или древняя Joomla
Ответить | Правка | ^ к родителю #45 | Наверх | Cообщить модератору

12. "В WordPress 5.1.1 устранена уязвимость, позволяющей получить..."  +1 +/
Сообщение от Владимир (??), 14-Мрт-19, 09:57 
Интересно чем? В Joomla не появляются уязвимости каждый месяц
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

13. "В WordPress 5.1.1 устранена уязвимость, позволяющей получить..."  +1 +/
Сообщение от Вадии (?), 14-Мрт-19, 09:58 
О да жумла конечно хуже за два года нет критических уязвимостей. В то время как вп стабильно пару раз в год.
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

22. "В WordPress 5.1.1 устранена уязвимость, позволяющей получить..."  +/
Сообщение от zzz (??), 14-Мрт-19, 13:07 
В линуксе тоже когда-то не было критических уязвимостей, а как только началось широкое распространение - посыпался ворох CVE.
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

10. "В WordPress 5.1.1 устранена уязвимость, позволяющей получить..."  +/
Сообщение от istepan (ok), 14-Мрт-19, 09:49 
Ну не знаю, у меня три сайта на сопровождении, два года - полет нормальный.
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

46. "В WordPress 5.1.1 устранена уязвимость, позволяющей получить..."  +/
Сообщение от Аноним (36), 15-Мрт-19, 10:35 
Целых три? Преклоняю голову.

Тут маленький хостинг на десяток тысяч клиентов, с него (с абюзтима) и статистика.

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

47. "В WordPress 5.1.1 устранена уязвимость, позволяющей получить..."  +/
Сообщение от istepan (ok), 15-Мрт-19, 11:33 
> Целых три? Преклоняю голову.
> Тут маленький хостинг на десяток тысяч клиентов, с него (с абюзтима) и
> статистика.

Дело не в WP, дело во владельцах сайтов. Устанавливают взломанные темы и плагины со встроенными бэкдорам. Не следят за обновлением движка и плагинов.
Короче все как всегда.

Ответить | Правка | ^ к родителю #46 | Наверх | Cообщить модератору

48. "В WordPress 5.1.1 устранена уязвимость, позволяющей получить..."  +/
Сообщение от Добрыйсурамаритянин (?), 15-Мрт-19, 19:08 
Стоит последняя WP, при входе в админку встречает надпись Wordpress обновлен до версии 5.1.1! Автоматическое обновление будет происходить и далее.... И одна только кнопка переустановить wp-ruru. ЧЯДНТ
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

15. "В WordPress 5.1.1 устранена уязвимость, позволяющей получить..."  –2 +/
Сообщение от Аноним (15), 14-Мрт-19, 11:40 
для того что-бы так обновлять нужно открыть ftp доступ что уже не безопасно
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

19. "В WordPress 5.1.1 устранена уязвимость, позволяющей получить..."  –2 +/
Сообщение от istepan (ok), 14-Мрт-19, 12:21 
Там без ftp все обновляется.
Скачивается архив и распаковывается.
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

24. "В WordPress 5.1.1 устранена уязвимость, позволяющей получить..."  +/
Сообщение от forum reader (?), 14-Мрт-19, 13:10 
WP для работы нужны права на запись только в папочку upload.
Если у http демона отобрать права на запись в остальные файлы-папки отвалится автоматическое обновление и большинство уязвимостей.

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

31. "В WordPress 5.1.1 устранена уязвимость, позволяющей получить..."  +1 +/
Сообщение от ff (??), 14-Мрт-19, 16:05 
иногда приходится выбирать между возможностью обновления и уязвимостями =)
Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

39. "В WordPress 5.1.1 устранена уязвимость, позволяющей получить..."  +/
Сообщение от Who know (?), 14-Мрт-19, 23:13 
Например линукс популярен, и что он тоже такой же дырявый?
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

43. "В WordPress 5.1.1 устранена уязвимость, позволяющей получить..."  +1 +/
Сообщение от имя (?), 15-Мрт-19, 05:19 
видишь суслика? а он есть.
Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

4. "В WordPress 5.1.1 устранена уязвимость, позволяющей получить..."  +1 +/
Сообщение от Онаним (?), 14-Мрт-19, 09:07 
Критическая уязвимость в WP - это очень ново и свежо. Там счёт ещё на тысячи, или уже на десятки тысяч?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

11. "В WordPress 5.1.1 устранена уязвимость, позволяющая получить..."  –1 +/
Сообщение от OldMonster (ok), 14-Мрт-19, 09:57 
"Ещё 999 вёдер, и ключик - наш!"
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

16. "В WordPress 5.1.1 устранена уязвимость, позволяющая получить..."  –1 +/
Сообщение от Аноним (16), 14-Мрт-19, 11:41 
А если реально, что посоветуете WP или Joomla?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

18. "В WordPress 5.1.1 устранена уязвимость, позволяющая получить..."  –5 +/
Сообщение от th3m3 (ok), 14-Мрт-19, 12:17 
Что угодно, не на php.
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

20. "В WordPress 5.1.1 устранена уязвимость, позволяющая получить..."  +/
Сообщение от Аноним (16), 14-Мрт-19, 12:23 
А что тогда руби?
Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

25. "В WordPress 5.1.1 устранена уязвимость, позволяющая получить..."  –1 +/
Сообщение от forum reader (?), 14-Мрт-19, 13:11 
Lotus Notes Domino!
Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

21. "В WordPress 5.1.1 устранена уязвимость, позволяющая получить..."  +1 +/
Сообщение от istepan (ok), 14-Мрт-19, 12:41 
Смотря для чего.
Если простой сайт, новости, форма обратной связи, простенький каталог, то WP подойдет.
В Joomla будет посложнее админка для обычного пользователя, зато удобней разрабатывать функционал.

Если хочется интернет магазин, то лучше смотреть opensource cms для интернет магазинов. Всякие prestashop и opencard. Там тоже есть свои особенности.

Если сами разбираетесь в php или есть толковый спец, то лучше писать используя фремворки. В СНГ популярен Yii2. Проблем найти разработчика не составит труда.

Писать на других языках, как тут пишут некоторые кадры, нет смысла, так как php (c 7-й версии) сейчас достаточно взрослый язык.
Если и писать, то на других языках нет толковых библиотек и фремворков. Те что есть слишком сложные и разработка выйдет в существенную копеечку.
Однако если нужен микросервис, то лучше Golang не найти, но как правило у людей знающих что такое "микросервис" вопросов в выборе инструмента возникает.

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

23. "В WordPress 5.1.1 устранена уязвимость, позволяющая получить..."  +/
Сообщение от zzz (??), 14-Мрт-19, 13:08 
Drupal
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

26. "В WordPress 5.1.1 устранена уязвимость, позволяющая получить..."  –2 +/
Сообщение от Ключевский (?), 14-Мрт-19, 13:56 
Будь брутален, юзай hugo! Пиши свои страницы в markdown, коммить их в гит и генерь при помощи hugo. А главное научи это делать какого-нибудь заказчика, который компа боится, как огня
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

35. "В WordPress 5.1.1 устранена уязвимость, позволяющая получить..."  +/
Сообщение от Аноним (35), 14-Мрт-19, 16:34 
Нет никакой проблемы сделать приватную админку на другом хосте что будет засылать маркдаун куда надо и генерить. И само же выкладывать в S3.
Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

37. "В WordPress 5.1.1 устранена уязвимость, позволяющая получить..."  +1 +/
Сообщение от Аноним (37), 14-Мрт-19, 18:20 
Делал так уже. Именно хьюго, гит и макрдауном. На рабочем столе иконка "Опубликовать изменения". Notepad++ для создания и редактирования текстов. Ко всему в довесок две пдфки. В одной шпаргалка по маркдауну, во второй описание как оно устроено внутри простым языком для простых смертных. Запустил в 2017 году, с тех пор звонили дажды. Один раз когда случайно иконку удалили, второй когда их виртуалка легла по моему недосмотру. Давай лут и следующий квест.
Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

34. "В WordPress 5.1.1 устранена уязвимость, позволяющая получить..."  +/
Сообщение от YetAnotherOnanym (ok), 14-Мрт-19, 16:32 
<trollmode>
Treefrog
Zotonic
Kemal
Lapis
</trollmode>
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

40. "В WordPress 5.1.1 устранена уязвимость, позволяющая получить..."  +/
Сообщение от Kaiwasemail (?), 15-Мрт-19, 00:09 
modx неплох
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

44. "В WordPress 5.1.1 устранена уязвимость, позволяющая получить..."  +/
Сообщение от Аноним (36), 15-Мрт-19, 10:28 
Чессгря, модх - пока лучшее, что я видел. Но для webdev-wannabe он слишком сложен и прост, не говоря уже об интернет-хомячках.
Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

17. "В WordPress 5.1.1 устранена уязвимость, позволяющая получить..."  +2 +/
Сообщение от Аноним (17), 14-Мрт-19, 12:10 
> В WordPress 5.1.1 устранена уязвимость

В смысле РНР убрали?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

41. "В WordPress 5.1.1 устранена уязвимость, позволяющая получить..."  +/
Сообщение от Аноним (41), 15-Мрт-19, 02:03 
😆😆😆
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

27. "В WordPress 5.1.1 устранена уязвимость, позволяющая получить..."  +1 +/
Сообщение от Глеб (?), 14-Мрт-19, 14:21 
Никогда не было и вот опять
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

50. "В WordPress 5.1.1 устранена уязвимость, позволяющая получить..."  +/
Сообщение от Аноним (50), 21-Мрт-19, 14:45 
Почему-то из консоли после обновления пропал раздел ссылки
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру