Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Обновление WordPress 5.6. Уязвимость в плагине Easy WP SMTP, имеющем 500 тысяч установок"	+/–
Сообщение от opennews (?), 13-Дек-20, 11:51
В WordPress-плагине Easy WP SMTP, предназначенном для организации отправки писем через SMTP-сервер и насчитывающем более 500 тысяч активных установок, выявлена уязвимость, позволяющая получить полный доступ к сайту с правами администратора. Проблема устранена в выпуске 1.4.4. Примечательно, что разработчики узнали о проблеме после  массовой атаки на сайты  с данным плагином, в ходе которой неизвестные злоумышленника меняли пароль администратора (0-day уязвимость, используемая для атаки до появления исправления)... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=54250
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от hgdslvodf (?), 13-Дек-20, 11:51	–4 +/–
>в публично доступном каталоге "/wp-content/plugins/easy-wp-smtp/" кривая настройка вебсервера и уязвимость плагина всё-таки разные вещи. >для каталога не было настроено скрытие списка файлов именно >добавили файл index.html для запрета просмотра списка файлов wat?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #3, #20

2. Сообщение от InuYasha (??), 13-Дек-20, 11:52	+6 +/–
Нахрена в проде вообще генерить ТАКОЙ лог да ещё и в папку в /www/?!!
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #5, #23

3. Сообщение от InuYasha (??), 13-Дек-20, 11:53	+10 +/–
Это доисторический рабочий трюк для сокрытия листинга. Сервер просто вернёт этот /dir/index.htm при обращении к /dir/
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #4, #54

4. Сообщение от hgdslvodf (?), 13-Дек-20, 11:54	+/–
Спасибо
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #39

5. Сообщение от hgdslvodf (?), 13-Дек-20, 11:58	+/–
WP не даёт ни абстракций ни реализаций для многих полезных вещей. Каждый разработчик городит свои велосипеды.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #53

7. Сообщение от YetAnotherOnanym (ok), 13-Дек-20, 12:16	+20 +/–
> переместили лог в отдельный каталог и добавили сброс содержимого при каждой активации плагина Они прямо-таки постигли дзен логирования: очистка логов при перезапуске - это как раз то, что нужно для разбора полётов в случае проблем.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #21, #64

9. Сообщение от Аноним (9), 13-Дек-20, 14:07	+8 +/–
Самое интересное, что проблемы безопасности в таких случаях очень показательны. Не сложные ошибки, эксплуатирующиеся по сторонним каналам, не проблемы самого языка, не какие-то интересные сбои. Нет. Так, халатность и разгильдяйство, самое дно того качества кода, что вообще может быть написан на PHP, и уже до такой степени показательно, что WP стал чудесной антирекламой языку. Это удручает, и это отвратительно.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #11, #32, #44, #51

10. Сообщение от Аноним (11), 13-Дек-20, 14:16	+/–
И что думаете если Wordpress перейдет на Rust, что-то изменится в плане уязвимостей? Ответ: Нет. А если результат одинаковый, а времени на разработку уйдет в 10 раз больше, зачем использовать Rust?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #12, #16, #26

11. Сообщение от Аноним (11), 13-Дек-20, 14:18	–1 +/–
Смысл экономии в том чтобы дать минимально допустимое качество.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #22

12. Сообщение от неРастНеСиНеСекта (?), 13-Дек-20, 14:46	+3 +/–
Новость про PHP и WP, про уязвимости в WP. Зачем ты сюда принес раст? Чтобы говно развести? Или у сишников так горит от раста, что они каждый день живут с мыслю о том, какое он говно, и считают своим долгом заставить всех других так думать?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #13, #14

13. Сообщение от Аноним (13), 13-Дек-20, 14:52	–1 +/–
Дак тут по моему 1,5 поехавших в любой новости вспоминают раст. Я вообще не уверен что они хотя бы на баше скриптик напишут, просто с голой проблемы, не обращайте внимания
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #15

14. Сообщение от Аноним (11), 13-Дек-20, 15:02	+/–
Не все же одному Фракталу тут растофикалии развозить.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

15. Сообщение от Аноним (11), 13-Дек-20, 15:05	+/–
Уверен что твой Вордпресс полон дыр.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13 Ответы: #41

16. Сообщение от n00by (ok), 13-Дек-20, 15:07	+1 +/–
> И что думаете если Wordpress перейдет на Rust, что-то изменится в плане > уязвимостей? Сложность языка повышает порог вхождения. Вывод сделаете, или помочь?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #17, #59

17. Сообщение от Аноним (17), 13-Дек-20, 15:12	–1 +/–
Надо срочно перейти на плюсы, а то руст одних жс-обезьян приманивает. Вот тогда заживём!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #19

18. Сообщение от Аноним (20), 13-Дек-20, 15:23	+4 +/–
> Обновление WordPress 5.6 Обновление Уязвимостей 5.6
Ответить | Правка | Наверх | Cообщить модератору

19. Сообщение от n00by (ok), 13-Дек-20, 15:52	+1 +/–
Является ли знак , (запятая) оператором в C? Да - 29,56% Нет - 54,01% Узнать результаты - 16.42% Проголосовали 274 человека
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17 Ответы: #28, #38, #45

20. Сообщение от Аноним (20), 13-Дек-20, 15:53	+1 +/–
> кривая настройка вебсервера сдаётся, то был плагин-троян, чтобы читать почту нерадивых юзероадминов.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

21. Сообщение от Аноним (20), 13-Дек-20, 15:56	+3 +/–
Просто цель была другая: троян, а не плагин.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7

22. Сообщение от Аноним (20), 13-Дек-20, 15:57	+2 +/–
> минимально допустимое качество Это недопустимое качество.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #25

23. Сообщение от Разработчик (?), 13-Дек-20, 16:00	+4 +/–
А как я его тебе скачаю, если он не будет в www?!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #24

24. Сообщение от Аноним (20), 13-Дек-20, 16:01	+4 +/–
А зачем тебе качать МОИ логи?!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23 Ответы: #27

25. Сообщение от Разработчик (?), 13-Дек-20, 16:01	+5 +/–
Пятьсот тысяч установок! Поучи нас еще, какое качество допустимое.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22 Ответы: #30

26. Сообщение от Разработчик (?), 13-Дек-20, 16:05	+3 +/–
> И что думаете если Wordpress перейдет на Rust, что-то изменится в плане уязвимостей? Конечно изменится - нет вордпресса, нет уязвимостей! Главное переходить сразу rm -rf *, а не как эта ваша мурзила - перепишем-перепишем-перепишем, ой, пук! Сколько там - процентов 5 успели за десять лет, прежде чем их всех выкинули за борт? > А если результат одинаковый, а времени на разработку уйдет в 10 раз больше, зачем использовать > Rust? ты совсем чтоль дурак? Именно затем. Тебе зарплата за эти десять лет, что, не понадобится? Причем пинком под зад уволить тебя и нанять десять таких же, как с пехепе, нихрена не получится - они следующие десять лет будут либо пытаться понять, что ж ты там такого понакодил, либо "рефакторить" - то есть переписывать с нуля, потому что проще угадать, что делала эта фича, чем понять - как, и что в ней теперь нужно поправить.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10

27. Сообщение от Разработчик (?), 13-Дек-20, 16:06	+5 +/–
> А зачем тебе качать МОИ логи?! Это не твои логи, это кого надо логи! Ты бы до этой новости даже и не узнал бы, что там есть какие-то логи.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24 Ответы: #29

28. Сообщение от Аноним (17), 13-Дек-20, 16:09	+/–
Лол, ну то такое, может опрос и не среди программистов вовсе. Чисто логически можно спросить себя "а что это в таком случае, для си?", правда, тут тоже потребуется знание синтаксиса как минимум.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19 Ответы: #31

29. Сообщение от Аноним (20), 13-Дек-20, 16:15	+4 +/–
> даже и не узнал бы, что там есть какие-то логи я по логам веб-сервера узнал, что все кулхацкеры ищут на моём сайте какой-то "вротпресс".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27 Ответы: #37

30. Сообщение от Аноним (20), 13-Дек-20, 16:18	+2 +/–
Снимаю перед Вами шляпу... Столько экземпляров трояна поставить!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25 Ответы: #68

31. Сообщение от Аноним (20), 13-Дек-20, 16:21	+1 +/–
> а что это в таком случае Можно пойти путём исключения... Идентификатор? Нет. Ключевое слово? Нет. Пробельный символ? Тоже нет... Но программисты ныне не способны логически думать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28 Ответы: #43

32. Сообщение от Аноним (32), 13-Дек-20, 16:52	+1 +/–
Скоро на раст перепишут и все наладится
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #33

33. Сообщение от Аноним (20), 13-Дек-20, 17:26	+4 +/–
Боюсь даже представить, какие тупейшие ошибки будут совершать растаманы, пишущие вротпресс.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32

34. Сообщение от КО (?), 13-Дек-20, 18:18	–2 +/–
"предназначенном для организации отправки писем через SMTP-сервер" С какого-то xера ведет логи
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #52

35. Сообщение от Аноним (35), 13-Дек-20, 18:32	+/–
обновление 5.6 имеет проблемы совместимости с плагином Classic Editor (или наоборот, как угодно). В зависимости от вашей удачи, могут пропасть отдельные элементы, например, подсветка выделения в ctrl+k, или полная неработоспособность редактора TinyMCE. обновляйтесь аккуратнее, господа.
Ответить | Правка | Наверх | Cообщить модератору

36. Сообщение от Аноним (38), 13-Дек-20, 19:21	+1 +/–
красава
Ответить | Правка | Наверх | Cообщить модератору

37. Сообщение от Атон (?), 13-Дек-20, 19:32	+3 +/–
дай им то чего они хотят
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29

38. Сообщение от Аноним (38), 13-Дек-20, 19:36	+/–
так зависит от контекста.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19 Ответы: #47

39. Сообщение от Аноним (39), 13-Дек-20, 20:29	+2 +/–
Вот только по полному пути файл по-прежнему доступен. По-хорошему надо запрещать запись в /www и разрешать только в специально отведённые папки как то /uploads logs и например в нечто plugins_data куда плагины могут сваливать свой рабочий мусор. Тогда все плагины, которые пишут данные куда попало идут лесом, нормальные плагины пишут куда следует, а инструкция по установке или сам установщик вордпреса на сервер делает нужные разрешения на папки. И проблема аналогичная данной решается для всех нынешних и будущих плагинов.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #55

40. Сообщение от Ilya Indigo (ok), 13-Дек-20, 21:18	+1 +/–
Просто охренеть... даже культурные слова не находятся...
Ответить | Правка | Наверх | Cообщить модератору

41. Сообщение от Аноним (13), 13-Дек-20, 23:03	+/–
Он не мой, а общий
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15

42. Сообщение от Аноньимъ (ok), 14-Дек-20, 01:05	–2 +/–
Вордпресс вроде целиком из дыр состоит бай десинг. Новость как в виндовс нашли телеметрию короче.
Ответить | Правка | Наверх | Cообщить модератору

43. Сообщение от Аноньимъ (ok), 14-Дек-20, 02:47	+2 +/–
Есть ли в Си синтаксис?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31 Ответы: #46

44. Сообщение от Аноньимъ (ok), 14-Дек-20, 02:53	+/–
Наоборот, ВП главная реклама. Имхо, не стоит фантазировать много на счёт пхп. Его единственная цель быть простым как инструмент и понятным даже Алле Пугачевой. Вордпресс вершина на самом деле для ПХП. ЦМС для всех и каждого. Подключай плугины правь на коленке. Безопасность качество скорость никогда речи об этом не шло с пхп.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9

45. Сообщение от anonimous (?), 14-Дек-20, 05:30	+1 +/–
Да.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19

46. Сообщение от Аноним (20), 14-Дек-20, 07:53	+1 +/–
Хороший вопрос. Учитывая отборнейший бред, заложенный в язык, синтаксис в нём почти отсутствует.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #43 Ответы: #48

47. Сообщение от n00by (ok), 14-Дек-20, 09:27	+/–
Если попробовать подумать, как работает абстрактная машина и/или транслятор, окажется, что comma operator и в identifier-list ведётся себя точно так же. Неопределённый порядок вычислений там появился ради оптимизации.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #38

48. Сообщение от n00by (ok), 14-Дек-20, 09:30	+/–
> Хороший вопрос. Учитывая отборнейший бред, заложенный в язык, синтаксис в нём почти > отсутствует. Annex A (informative) Language syntax summary
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #46

49. Сообщение от qweqwe (?), 14-Дек-20, 09:57	–1 +/–
Админю пару сайтов на WP, и стоят эти плагины. Фишка в том что используется только nginx + php-fpm) Там файлы не выводятся.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #57

50. Сообщение от Аноним (54), 14-Дек-20, 10:49	+2 +/–
> плагин сохранял в публично доступном каталоге "/wp-content/plugins/easy-wp-smtp/" файл с отладочным логом, в котором отображалось содержимое всех отправленных писем Откуда растут руки у этих пейсателей? Зато мега-фреймворки, тонны классов, юнит-тесты, все дела. Вот только всё это бесполезно, когда руки растут оттуда.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #61, #62

51. Сообщение от Аноним (54), 14-Дек-20, 10:51	+/–
Да, WP ныне - это почти худшее, что написано на PHP за всё время его существования. Хуже наверное только друпал с жумлой.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9

52. Сообщение от Аноним (54), 14-Дек-20, 10:52	+/–
Вы не ведёте логи вообще ни для чего? Другое дело, что прежде, чем вести логи, надо думать головой насчёт того, что логгировать, и куда размещать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34

53. Сообщение от Аноним (54), 14-Дек-20, 10:53	+1 +/–
Не включать детальный лог (не включать содержимое) по умолчанию и дать пользователю самому указать путь для хранения логов - это, конечно, уже немножко выше того, что могут современные разработчики, да.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #56

54. Сообщение от Аноним (54), 14-Дек-20, 10:55	+1 +/–
Только если у сервера index.html настроен в качестве индекс-файла. Вообще конечно хранить в логах чувствительное содержимое без предупреждения по умолчанию - это полный ппц.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

55. Сообщение от Java omnomnom your memory linux (?), 14-Дек-20, 12:47	–1 +/–
А потом люди ещё удивляются почему php не любят и весь бэк пишут на jvm/.net/etc
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39 Ответы: #63, #65

56. Сообщение от Современные разработчики (?), 14-Дек-20, 16:44	+/–
Да мы-то можем. Мы потом не можем объяснить щасливому юзверю, как ему получить дебаг для нас. Поэтому сделали такой, который мы точно всегда можем прочитать. А что у вас там пароли в почте - ну кто ж знал?! Мы-то себе прямо в базе всегда меняли...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #53

57. Сообщение от грмхм (?), 14-Дек-20, 16:47	+1 +/–
что, и картинки или документы тоже не выводятся? Молодец, все правильно сделал.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #49

58. Сообщение от Аноним (59), 14-Дек-20, 18:33	+1 +/–
А чего тут растоманов нет? В php тоже нет работы с памятью, а дыр больше чем в любом сишном проекте.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #60

59. Сообщение от Аноним (59), 14-Дек-20, 18:35	+/–
У раста нет сложности. Вывод сделаешь сам или помочь?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #66

60. Сообщение от Аноним (20), 14-Дек-20, 19:16	+/–
Тссс! Не пали источник проблем!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #58

61. Сообщение от Аноним (20), 14-Дек-20, 19:18	+/–
Типичные будущие растаманы.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #50

62. Сообщение от Аноним (20), 14-Дек-20, 19:18	+/–
Куча красивых слов и пароли в публичном текстовичке.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #50

63. Сообщение от Аноним (63), 14-Дек-20, 20:06	+/–
Всего то лишь не осилили настроить .htaccess или конф nginx
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #55 Ответы: #67

64. Сообщение от gogo (?), 15-Дек-20, 02:36	+/–
А я вот не постиг. Про какую АКТИВАЦИЮ плагина они говорят? Когда его включают-выключают в панели ВП? Или при рестарте сессии, демона? Или после каждой отсылки письма?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7

65. Сообщение от Х (?), 15-Дек-20, 08:43	+/–
Это все же вопрос не к php - веб-сервер при неверно заданных разрешениях вернет файл по пути при любом ЯП. Другое дело, что PHP-сайты часто куда более легковесно настроены, чем все эти ваши явы с их вебом )
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #55

66. Сообщение от n00by (ok), 15-Дек-20, 09:38	+/–
> У раста нет сложности. Вывод сделаешь сам или помочь? Сделал: Вы придумали, будто бы я заявил "у Раста есть сложность", после чего принялись отрицать свой вымысел.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #59

67. Сообщение от InuYasha (??), 15-Дек-20, 16:14	+/–
А ещё chmod, chown, setfacl, и, для полного счастья - selinux. :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #63

68. Сообщение от InuYasha (??), 15-Дек-20, 16:21	+/–
> Снимаю перед Вами шляпу... Ви, таки, непrавильно снимаете шляпу! Успешные разработчики снимают её ради того лишь, чтобы в неё посыпались донатики )
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30

69. Сообщение от mickvav (?), 15-Дек-20, 16:48	+/–
А отключить вывод отладочной информации в установке по умолчанию авторы считают выше своего достоинства?
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема