WordPress這次的更新有故事 站長們還請快快更新
WordPress開發者在周二(10月31日)在新版本(4.8.3)中修復了一系列的SQL注入漏洞。WordPress提示各位站長及時更新。
WordPress開發者們這次修復的SQL注入漏洞是由Lingo Live的副總工程師Anthony Ferrara上報的。這個漏洞可以通過Wordpress插件和主題來利用,攻擊者可以通過SQL注入攻擊來控制易被攻擊的網站。現在新的版本里使WordPress的代碼已經強化,以抵禦該攻擊。
「WordPress4.8.2及之前的版本都會受到影響,細節是這樣的:$pdb->prepare()可以在未知和不安全的情況下查詢,導致潛在的SQL注入(SQLi)。WordPress的核心並不會直接的被影響到,但是插件和主題是容易被影響的,所以我們加強了對這兩部分的漏洞防範。以上由Anthony Ferrara反饋得知。」WordPress公開的更新文檔中是如此描述的。
這個問題被一個綽號叫「slavco」的研究者與幾個月前的一個SQL注入漏洞關聯起來了。那個漏洞在9月更新的4.8.2版本的WordPress中就被修補了,但是這個修補卻讓很多網站被開發團隊攻破。而且,這個補丁發布後,Frerrara發現最新版本並沒有堵上這些漏洞。
WordPress安全團隊用了大概六周才將這個問題解決並發布了合適的補丁。研究者批評了WordPress安全團隊處理問題的速度,並表示曾計劃在沒有收到正式回應的情況下公開披露相關細節。
他們花了整整5周的時間,不得不讓人覺得他們是否真的是在修補漏洞。所以在那個時候,我開始威脅他們我要「公開漏洞」,逼迫他們去完整的解決問題(雖然他們在我做出公開威脅之前就已經開始通知進展)。
「安全報告應該「及時」處理,我們所說的及時處理是看到提交問題積極努力的去解決問題,而不是現在的這種應付問題,單純的應付問題並不能從根本上解決問題,那其實是沒有任何作用的。
WordPress發布的版本說明中指出本次更新修改了esc_sql()這個函數的功能。大多數的開發者不會被影響到。如果你想知道更多可以查看開發手記(https://make.wordpress.org/core/2017/10/31/changed-behaviour-of-esc_sql-in-wordpress-4-8-3/)
更新的文件列表:
wp-admin/about.php
wp-includes/formatting.php
wp-includes/post.php
wp-includes/wp-db.php
wp-includes/version.php
wp-content/plugins
※差學生秒變三好學生?因為一款黑客工具他入獄了
※使用 Mimikatz和Powersploit 提取 Windows 禁止導出的證書並逃避防護軟體
※Masscan教程和入門手冊
※Oracle被爆高危漏洞,攻擊者可劫持用戶賬戶
TAG:嘶吼RoarTalk |