WordPress 4.2.1 – závažná bezpečnostní aktualizace

Seriál aktualizací z posledního týdne dnes večer pokračuje a před chvílí se už oficiálně objevil nový WordPress 4.2.1, který řeší závažný bezpečnostní problém. Ovlivněny jsou také některé starší verze, takže se určitě nepokoušejte automatickým aktualizacím bránit.

Jde o podobnou chybu, která byla nedávno opravena ve WordPressu 4.1.2 a opět šlo o bezpečnostní díru v podobě cross-site scripting (XSS), která mohla být tentokrát snadno zneužita prostřednictvím komentářů. Stačí když útočník (jako anonymní uživatel) napíše ten správný komentář, který bude obsahovat trochu potřebného JavaSciptu a hlavně bude velmi dlouhý (více než 64 kB), aby mohl být při vkládání do databáze automaticky zkrácen. Následně je třeba počkat, dokud si nějaký přihlášený administrátor komentář neprohlédne a v této chvíli dojde např. ke změně administrátorského hesla nebo úpravě šablony či nějakého pluginu (podle zaměření skriptu ve vloženém komentáři). Zájemci mohou shlédnout názorné video, další podrobnosti naleznete zde.

Zajímavý je také fakt, že byla chyba zveřejněna dříve než vyšla oprava, takže si museli vývojáři vzhledem k její závažnosti docela pospíšit. Objevitel chyby se údajně pokoušel vývojáře neveřejně upozornit už od listopadu 2014, ale byl dlouhodobě ignorován. A protože chyba začala být zneužívána, tak raději vše zveřejnil. Těžko říci, zda jde o pravdivou informaci, ale objevitel chyby není v této oblasti nováčkem a v jeho repertoáru je např. vydání WordPressu 4.0.1, kdy nahlásil podobný problém.

Aktualizace: Podle oficiálního vyjádření, byli vývojáři upozorněni na chybu pouze několik hodin před jejím zveřejněním a vše ještě zlehčují poukazováním na to, že mnoho webů stejně používá Akismet, který si s ní poradí i bez aktualizace. Osobně se mi to moc nezdá a nechápu jak je možné, že Akismet sice umí problému předcházet (a tedy o něm určitě už dlouho někdo věděl), ale pokud ho nepoužíváte, tak tam může chyba klidně zůstat dokud to někdo nezveřejní :-(

WordPress 4.2.1: Oficialní stanovisko vývojářů

Kromě WordPressu 4.2.1 byly opět vydány i starší verze (4.1.4 a 4.0.4). Během dneška také vyšlo po zveřejnění chyby několik článků na různých známých a navštěvovaných webech (např. WPTavern), a to dokonce i mimo svět WordPressu (např. Forbes). Doufám, že po přečtení už nemusím nikoho upozorňovat, že je rozhodně doporučeno aktualizovat :-)

Ideální český hosting pro český WordPress je CZECHIA.CZ

1 komentář u „WordPress 4.2.1 – závažná bezpečnostní aktualizace“

Napsat komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *