WordPress: súlyos hiba miatt kell frissíteni

A WordPress fejlesztői egy fontos frissítést tettek elérhetővé, amit biztonsági szempontból minél előbb célszerű telepíteni.
 

A WordPress is azon webes alkalmazások közé tartozik, amelyeket a kiberbűnözők folyamatosan célkeresztben tartanak. Teszik ezt azért, mert egy roppant népszerű tartalomkezelőről van szó, és ha abban egy biztonsági hibát ki tudnak aknázni, akkor azzal széles körű károkozásokat idézhetnek elő. Nem ritka, hogy mindezt automatizáltan, tömegesen teszik. A legfrissebb hírek szerint a WordPress frissítésével is egy olyan sebezhetőséget lehet orvosolni, amely felhasználható lehet ilyen jellegű támadások lebonyolításához.
 
A WordPress 4.8.3-as verziójával érkező hibajavítás egy SQL injection típusú sérülékenységet szüntet meg. Vagyis a biztonsági rés alkalmas lehet arra, hogy a támadók adatokhoz férjenek hozzá, adatbázisokat manipuláljanak, vagy még rosszabb esetben átvegyét az irányítást az érintett weboldalak felett. Ezért is fontos, hogy a patch-elés minél előbb megtörténjen.
 
Nem egy egyszerű hibáról van szó
 
A szóban forgó sérülékenységnek már komolyabb előtörténete van. A WordPress fejlesztői szeptember közepén adták ki a 4.8.2-es verziót, amely egyebek mellett egy olyan biztonsági hibának is búcsút intett, ami szintén SQL injection alapú károkozásokra adott módot. Legalábbis egy kis ideig mindenki azt gondolta, hogy valóban megszűnt a sérülékenység. Csakhogy Anthony Ferrara, a Lingo Live alelnökét nem hagyták nyugodni a történtek, és elemzéseknek vetette alá a webes alkalmazást. Ekkor arra jött rá, hogy a 4.8.2-es verzió a biztonsági rés szempontjából csak egy felületi kezelés volt, és az korántsem a gyökereknél orvosolta a problémát. Emiatt a kockázatok továbbra is fennálltak.
 
Ferrara szerint nem is csak ez jelentette az egyetlen gondot. A szakember a felfedezését követően ugyanis azonnal értesítette a WordPress fejlesztőit, de nem kevesebb mint hat hét kellett ahhoz, hogy megérkezzen a végleges, és immáron valóban teljes mértékben hatásos javítás. Az első hetekben a szakembert nem is igazán méltatták válaszra, miközben Ferrara türelme egyre fogyott. Oly annyira, hogy nyilvánosságra hozott néhány részletet a sérülékenységgel kapcsolatban. Ez kellett ahhoz, hogy komolyan vegyék a bejelentését.
 
"A biztonsági jelentéseket azonnal kezelni kell. Ez persze nem azt jelenti, hogy minden másodperc számítana, hiszen vannak prioritások. De legalább figyelmesnek kell lenni. Legalább jelezni kell azt, hogy elolvassák, amit írok" - fakadt ki Ferrara.
 
Minden esetre a történet még nem ért véget, hiszen most a weboldalak tulajdonosain, üzemeltetőin a sor, hogy minél előbb telepítsék a frissítést, mivel nem zárható ki, hogy a kiberbűnözők rövid időn belül célkeresztbe állítják a biztonsági rést.
Vélemények
 
  1. 3

    A MediaWiki négy biztonsági rés miatt kapott frissítést.

  2. 4

    A Microsoft JET Database Engine egy nulladik napi hiba miatt válhat kiszolgáltatottá.

  3. 1

    A Zexlex trójainak egy célja van: szabad bejárást biztosítani a támadók számára a fertőzött számítógépekbe.

Partnerhírek
Kézzel írták a járatinformációkat - zsarolóvírus miatt

​Zsarolóvírusos támadás miatt a bristoli repülőtér utastájékoztató információs táblái nem működtek, helyette kézzel írott információs táblákon tájékoztatták az utasokat.

Egyszerűen feltörhető a gyenge jelszóval védett wifi hálózat

Relatíve egyszerűen feltörhető a wifi hálózatok jelszava, ezért a következő szabvány érkezéséig azt javasoljuk, mindenki hosszabb és bonyolultabb jelszóval védje helyi hálózatát.

hirdetés
Közösség
1