Bezpečnostní chyba ve WordPressu 3.5

Úvodní stránka Fórum podpory WordPressu Problémy s WordPressem Bezpečnostní chyba ve WordPressu 3.5

Štítky: 

Zvolené téma obsahuje celkem 3 odpovědi. Do diskuze (2 účastníci) se naposledy zapojil uživatel  Lukenzi a poslední změna je stará 11 let, 3 měsíce.

Aktuálně jsou na stránce zobrazeny 4 příspěvky - 1. až 4. (z celkem 4)
  • Autor
    Příspěvky
  • #2617

    Lukenzi
    Participant

    Byla objevena bezpečnostní chyba, na kterou v tuto chvíli neexistuje oprava.

    Více zde

    #13940

    admin
    Keymaster
    Web

    Zajímavé, také jsem si toho všiml, ale nevěděl jsem, že na to už existuje speciální nástroj :-) Takže nepomůže ani zakázání protokolu XML-RPC (ve WordPressu 3.5 je mimochodem defaultně zapnutý)?

    #13941

    Lukenzi
    Participant

    Jestli jsem dostupné informace pochopil správně tak ne, protože tím se pouze deaktivují funkce pro pingování používané ve WP. Samotný soubor xmlrpc.php při určitém použití vrací informace ze kterých lze zjistit právě například zda je některý konkrétní port otevřený nebo zda na serveru existuje určitá URL adresa.

    Lze tak například zjistit, že na serveru použíte neaktualizovaný bugtrack a pak již není problém najít nějaký exploit k získání přístupu. Také se píše o možnosti překonfigurovat router, ale to jsem zatím nějak nepochopil.

    #13942

    Lukenzi
    Participant

    Jen doplním pár drobností:

    1) Tato chyba je ve WP neopravená minimálně od roku 2007 (viz report na secunii #24951)

    2) Na možnost použít WP jako nástroj pro DoS útoky na jakýkoliv web byl bezpečnostní tým WordPressu upozorněn minimálně 2x emailem a jednou v tracku a vždy tuto chybu zamítl s nějakou nesmyslnou odpovědí (to je asi běžné, mám podobnou zkušenost…)

    3) Existuje již několik podrobných návodů i s potřebnými scripty jak DoS útok na jakýkoliv web pomocí WordPressu spustit

    4) Od roku 2007 bylo DoS útokem způsobeným pravděpodobně díky této chybě napadeno již několik velkých serverů (např. Cloudflare)

    5) Do některých DoS útoků byly zapojeny i blogy některých vývojářů WordPressu :)

    6) Chybu na stejném principu obsahují i jiné systémy např. drupal a joomla

    7) Stále není oprava…

Aktuálně jsou na stránce zobrazeny 4 příspěvky - 1. až 4. (z celkem 4)

Pokud chcete odpovědět na toto téma, musíte se nejdříve přihlásit.

WordPress – novinky, návody a zajímavosti