Újabb biztonsági frissítést kapott a WordPress
A WordPress ismét biztonsági javításokkal gyarapodott. Érdemes mihamarabb frissíteni az érintett weboldalakat.A WordPress idén már 15 biztonsági frissítést kapott, vagyis viszonylag sűrűn jelentek meg hozzá javítások. Ezek egyebek mellett olyan hibákat szüntettek meg, amelyek XSS-alapú károkozásokra, szolgáltatásmegtagadási támadásokra, adatlopásokra, illetve biztonsági megkötések megkerülésére is módot adhattak.
A múlt héten elérhetővé vált, 4.6.1-es verzió is egy biztonsági frissítésnek minősül annak ellenére, hogy nem kizárólag sebezhetőségek megszüntetésére alkalmas, hiszen egyéb rendellenességeket is orvosol.
A WordPress 4.6.1 két veszélyesebb sérülékenységet javít. Az első path traversal típusú támadásokra adhat lehetőséget, míg a másik XSS-technikákra épülő károkozásokhoz járulhat hozzá. Ez utóbbi sebezhetőség speciálisan összeállított fájlnevekkel válhat kihasználhatóvá. A megjelent technikai információk szerint a biztonsági hiba kihasználásához a támadónak rá kell vennie a kiszemelt weboldal adminisztrátorát (vagy az admin felülethez kellő szintű jogosultsággal rendelkező felhasználót), hogy egy olyan képfájlt töltsön fel a WordPress Media modulon keresztül, amelynek a fájlneve alkalmas a hiba kiaknázására. Ha ez megtörténik, akkor az elkövető munkamenetekhez kapcsolódó tokenekhez juthat hozzá, és esetenként bejelentkezési adatokhoz is hozzáférhet.
Van még hiba
A Securify a nyáron etikus hackerek számára egy teljes hónapon át tartó megmérettetést szervezett, amelynek során a WordPress és az azzal kompatibilis kiegészítőket lehetett ostromolni. A Summer of Pwnage elnevezésű "verseny" résztvevői összesen 120 sérülékenységről rántották le a leplet. Ezek között vannak olyanok, amelyek a mai napig megtalálhatók a WordPress-ben.
„A WordPress sok biztonsági funkciót tartalmaz, és egyáltalán nem olyan rossz a biztonsága, mint azt néhányan gondolják. A legnagyobb problémának a nem megfelelő kontroll alatt tartott bővítmények gyors elszaporodását látom. Véleményem szerint egy alkalmazásszűrőt kellene beépíteni a WordPress központi összetevőjébe, amely hatékonnyá tenné a CSRF-tokenek kezelését" - nyilatkozta Han Sahin, a Securify társalapítója.
-
A GLPI fejlesztői két veszélyes biztonsági résről számoltak be.
-
Öt biztonsági rést foltoztak be a GitLab fejlesztői.
-
A FreeRDP-hez öt patch vált elérhetővé.
-
A Dell biztonsági frissítést adott ki a Custom VMware ESXi-hez.
-
A Google kritikus veszélyességű sebezhetőségeket orvosolt a Chrome webböngésző kapcsán.
-
Az IBM QRadar SIEM-hez egy biztonsági javítás érkezett.
-
A Fortinet FortiNAC-F kapcsán egy biztonsági hibára derült fény.
-
A Firefox legújabb kiadása számos sebezhetőséget orvosolt.
-
A CrushFTP fejlesztői egy biztonsági rést foltoztak be.
-
A GNU C Library kapcsán egy veszélyes biztonsági résre derült fény.
Minden szülő legrosszabb rémálma felvenni egy ismeretlen számról érkező hívást, és azt hallani, hogy a gyermeke segítségért kiált.
Az online társkeresés elterjedésével alapjaiban változott meg az emberek közötti kapcsolatteremtés.