WordPress這次的更新有故事站長們還請快快更新

新聞 11-03

WordPress開發者在周二（10月31日）在新版本（4.8.3）中修復了一系列的SQL注入漏洞。WordPress提示各位站長及時更新。

WordPress開發者們這次修復的SQL注入漏洞是由Lingo Live的副總工程師Anthony Ferrara上報的。這個漏洞可以通過Wordpress插件和主題來利用，攻擊者可以通過SQL注入攻擊來控制易被攻擊的網站。現在新的版本里使WordPress的代碼已經強化，以抵禦該攻擊。

「WordPress4.8.2及之前的版本都會受到影響，細節是這樣的：$pdb->prepare()可以在未知和不安全的情況下查詢，導致潛在的SQL注入（SQLi）。WordPress的核心並不會直接的被影響到，但是插件和主題是容易被影響的，所以我們加強了對這兩部分的漏洞防範。以上由Anthony Ferrara反饋得知。」WordPress公開的更新文檔中是如此描述的。

這個問題被一個綽號叫「slavco」的研究者與幾個月前的一個SQL注入漏洞關聯起來了。那個漏洞在9月更新的4.8.2版本的WordPress中就被修補了，但是這個修補卻讓很多網站被開發團隊攻破。而且，這個補丁發布後，Frerrara發現最新版本並沒有堵上這些漏洞。

WordPress安全團隊用了大概六周才將這個問題解決並發布了合適的補丁。研究者批評了WordPress安全團隊處理問題的速度，並表示曾計劃在沒有收到正式回應的情況下公開披露相關細節。

他們花了整整5周的時間，不得不讓人覺得他們是否真的是在修補漏洞。所以在那個時候，我開始威脅他們我要「公開漏洞」，逼迫他們去完整的解決問題（雖然他們在我做出公開威脅之前就已經開始通知進展）。

「安全報告應該「及時」處理，我們所說的及時處理是看到提交問題積極努力的去解決問題，而不是現在的這種應付問題，單純的應付問題並不能從根本上解決問題，那其實是沒有任何作用的。

WordPress發布的版本說明中指出本次更新修改了esc_sql()這個函數的功能。大多數的開發者不會被影響到。如果你想知道更多可以查看開發手記（https://make.wordpress.org/core/2017/10/31/changed-behaviour-of-esc_sql-in-wordpress-4-8-3/）

更新的文件列表：

wp-admin/about.php

wp-includes/formatting.php

wp-includes/post.php

wp-includes/wp-db.php

wp-includes/version.php

wp-content/plugins

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！