WordPress 3.9.2 – důležitá bezpečnostní aktualizace

Každý si určitě povšiml nočních emailů, které informovaly o automaticky provedených aktualizacích webů. Druhá opravná (a v tomto případě zejména bezpečnostní) verze v podobě WordPressu 3.9.2 totiž právě vyšla, a to po téměř třech měsících od WordPressu 3.9.1 (což trochu svědčí o stabilitě současného vývoje). Odhalena byla poměrně závažná chyba, na jejímž odstranění se spolupracovalo s bezpečnostním týmem Drupalu. Pokud máte z nějakého důvodu vypnuté automatické aktualizace, tak tentokrát rozhodně neváhejte.

Kromě samotného WordPressu 3.9.2 vyšly i další aktualizace pro starší (stále podporované) verze, tedy WordPress 3.7.4, WordPress 3.8.4 (což poukazuje na závažnost problému) a nově také třetí beta verze pro chystaný WordPress 4.0. Avšak pozor, chyba se může projevit i v případě starších verzí (už od WordPressu 3.5), takže máte alespoň další důvod proč u nich dále nezůstávat.

Objeven byl problém, který mohl vést za jistých okolností (defaultně povolený protokol XML-RPC) k výpadku webu, tedy umožnit DoS útok (Denial of Service). Vývojáři WordPressu chybu opravili a informovali o ní také bezpečnostní tým Drupalu, takže mohla být společně vyřešena a zveřejněna. Podobná spolupráce je určitě užitečná pro všechny, protože kdyby došlo k opravě pouze u jednoho redakčního systému, tak by to mohli hackeři rychle zkoušet na tom druhém.

O co vlastně konkrétně šlo? Chyba v použité XML-RPC knihovně umožňovala provést útočníkům tzv. XML Quadratic Blowup Attack, čímž mohlo dojít k celkovému výpadku webu (oprava). Prostřednictvím bezpečnostní díry totiž může útočník poměrně snadno vytížit procesor (CPU) a paměť (RAM) až na 100%, čímž přestane server zcela reagovat. Během krátké chvilky tak může útočník pomocí jednoduchého .xml souboru paralyzovat celý web (princip je podobný útoku Billion laughs). Další podrobnosti se můžete dočíst zde (anglicky).

Chystáte se na pár hodin odpojit konkurenci, která má vypnuté automatické aktualizace? :-)

Při této příležitosti byly opraveny i další bezpečnostní problémy:

  • Opraven problém s možným (i když nepříliš pravděpodobným) spouštěním PHP kódu při práci s widgety (oprava).
  • Opravena bezpečnostní díra v použité externí knihovně GetID3 (používá se pro získání meta informací z nahrávaných mediálních souborů), která mohla vést k úniku informací, opět prostřednictvím XML útoku (oprava).
  • Posílena obrana proti brute force útoku (hrubou silou) na autorizační CSRF token. Pro zajímavost, tento problém byl nahlášen přímo bezpečnostním týmem Googlu.
  • Další posílení bezpečnosti a prevence potenciálního cross-site scripting útoku (mohl být ale způsoben pouze administrátorem).

Instalační balíček s češtinou pro WordPress 3.9.2 vyjde do konce týdne, ale žádné větší změny nečekejte. Noví uživatelé si mohou zatím nainstalovat českou verzi WordPressu 3.9.1 a automaticky pak proběhne aktualizace na nejnovější WordPress 3.9.2 (alespoň si ji mohou hned vyzkoušet).

Nejoblíbenější hosting pro WordPress WEDOS.cz

6 thoughts on “WordPress 3.9.2 – důležitá bezpečnostní aktualizace”

  1. “Instalační balíček s češtinou pro WordPress 3.9.2 vyjde do konce týdne.”

    To bylo 10. 8. tedy před 16 dny. Bude k dispozici, nebo se vývoj zasekl?

  2. DRAK: Balíček už je připraven (obsahuje i některé nové překlady), ale bohužel ho není možné generovat a distribuovat, protože to mají vývojáři rozbité (chybí tam např. výchozí šablony). Patrně tam probíhají nějaké změny v souvislosti s chystaným WordPressem 4.0 nebo opravu nepovažují za důležitou, nevím (hlášeno to je)…

Napsat komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *