Több millió weboldalt veszélyeztet egy WordPress-es hiba

​A WordPress-hez kapcsolódó Jetpack bővítmény egy súlyos sebezhetőség miatt több millió weboldalt tett kiszolgáltatottá. A hibajavítás már elérhető.
 

Adham Sadaqah biztonsági kutató nevéhez fűződik annak a biztonsági hibának a felfedezése, amely sok millió WordPress alapú weboldalt tett kiszolgáltatottá külső támadásokkal szemben. A sérülékenységre a széles körben használt Jetpack plugin kapcsán derült fény. Ezt a bővítményt jelenleg több mint ötmillió weboldalon használják aktívan, tehát egy nagyon jelentős támadási felületről beszélhetünk a hiba kapcsán.
 
A Jetpack számos hasznos biztonsági funkcióval egészíti ki a WordPress-t. Így például védelmet biztosít egyes brute force támadásokkal szemben, lehetőséget ad a webhelyek biztonsági mentésére, kibővíti a hitelesítések védelmi szintjét, és lehetőséget ad kártékony kódok felderítésére. Sajnos most éppen e biztonsági szempontból kedvelt összetevőben jelentkezett egy súlyos sérülékenység.
 
A sebezhetőség technikai részleteit egyelőre nem hozták nyilvánosságra a fejlesztők, akiknek jelenleg nincs tudomásuk arról, hogy a hiba kihasználására alkalmas exploit felbukkant volna az interneten. Azonban minden bizonnyal ez csak idő kérdése.
 
Annyit lehet tudni, hogy a biztonsági rés a Jetpack beágyazott kódokat kezelő egyik összetevőjét érinti. Mégpedig a 2017 nyarán megjelent 5.1-es kiadástól kezdődően a 7.9-es verzióig bezárólag. Ezért aztán számos kiadást kellett foltozniuk a fejlesztőknek, hogy minél hamarabb, minél több weboldal esetében lehessen elvégezni a frissítést. A következő kiadások már nem tartalmazzák a biztonsági hibát: 5.1.1, 5.2.2, 5.3.1, 5.4.1, 5.5.2, 5.6.2, 5.7.2, 5.8.1, 5.9.1, 6.0.1, 6.1.2, 6.2.2, 6.3.4, 6.4.3, 6.5.1, 6.6.2, 6.7.1, 6.8.2, 6.9.1, 7.0.2, 7.1.2, 7.2.2, 7.3.2, 7.4.2, 7.5.4, 7.6.1, 7.7.3, 7.8.1, 7.9.1.
 
A fejlesztők a frissítések minél előbbi elvégzésére buzdítanak, mivel nem lehet kizárni, hogy a közeljövőben szélesebb körű támadások veszik kezdetüket a sérülékenység kihasználásával.
Vélemények
 
  1. 3

    Az Oracle VirtualBoxhoz hét biztonsági hibajavítás vált elérhetővé.

  2. 4

    Az Adobe kritikus veszélyességű hibákat javított az Adobe Illustrator szoftverében.

  3. 1

    A Rozena.XM trójai kártékony programokkal halmozza el a fertőzött számítógépeket.

 
Partnerhírek
Androidon terjedő kémprogramot fedeztek fel az ESET kutatói

Egy androidos kémprogram új verzióját kezdték vizsgálni az ESET kutatói, amely mögött az APT-C-23 nevű, 2017 óta főként a Közel-Keleten aktív, hírhedten veszélyes bűnözői csoport áll.

​Az ESET egy globális művelet keretében harcol a Trickbot ellen

Az ESET kutatói is részt vesznek abban a globális összefogásban, amelynek célja a Trickbot megállítása, amely 2016-os működése óta több mint egymillió számítógépet fertőzött meg.

hirdetés
Közösség