Εκατομμύρια ιστότοποι του WordPress έλαβαν μια αναγκαστική ενημέρωση για να διορθώσουν μια κρίσιμη ευπάθεια σε ένα πρόσθετο που ονομάζεται UpdraftPlus.
Η υποχρεωτική επιδιόρθωση ήρθε κατόπιν αιτήματος των προγραμματιστών του UpdraftPlus λόγω της σοβαρότητας της ευπάθειας, η οποία επιτρέπει σε μη αξιόπιστους συνδρομητές, πελάτες και άλλους να κατεβάζουν την ιδιωτική βάση δεδομένων του ιστότοπου, εφόσον έχουν λογαριασμό στον ευάλωτο ιστότοπο. Οι βάσεις δεδομένων συχνά περιλαμβάνουν ευαίσθητες πληροφορίες σχετικά με τους πελάτες ή τις ρυθμίσεις ασφαλείας του ιστότοπου, με αποτέλεσμα εκατομμύρια ιστότοποι να είναι ευάλωτοι σε σοβαρές παραβιάσεις δεδομένων που διαρρέουν κωδικούς πρόσβασης, ονόματα χρηστών, διευθύνσεις IP και πολλά άλλα.
Το UpdraftPlus απλοποιεί τη διαδικασία δημιουργίας αντιγράφων ασφαλείας και αποκατάστασης βάσεων δεδομένων ιστότοπων και είναι το πιο ευρέως χρησιμοποιούμενο πρόσθετο για προγραμματισμένα αντίγραφα ασφαλείας στο Διαδίκτυο για το σύστημα διαχείρισης περιεχομένου WordPress. Εξορθολογίζει τη δημιουργία αντιγράφων ασφαλείας δεδομένων στο Dropbox, το Google Drive, το Amazon S3 και άλλες υπηρεσίες cloud. Οι προγραμματιστές του λένε ότι επιτρέπει επίσης στους χρήστες να προγραμματίζουν τακτικά αντίγραφα ασφαλείας και είναι ταχύτερο και χρησιμοποιεί λιγότερους πόρους διακομιστή από τα ανταγωνιστικά πρόσθετα WordPress.
"Αυτό το σφάλμα είναι αρκετά εύκολο να αξιοποιηθεί, με κάποια πολύ άσχημα αποτελέσματα αν αξιοποιηθεί", δήλωσε ο Marc Montpas, ο ερευνητής ασφαλείας που ανακάλυψε την ευπάθεια και την ανέφερε ιδιωτικά στους προγραμματιστές του πρόσθετου. "Κατέστησε δυνατό για χρήστες με χαμηλό προνόμιο να κατεβάσουν τα αντίγραφα ασφαλείας ενός ιστότοπου, τα οποία περιλαμβάνουν ακατέργαστα αντίγραφα ασφαλείας της βάσης δεδομένων. Οι λογαριασμοί με χαμηλά δικαιώματα θα μπορούσαν να σημαίνουν πολλά πράγματα. Τακτικοί συνδρομητές, πελάτες (σε ιστότοπους ηλεκτρονικού εμπορίου, για παράδειγμα) κ.λπ."
Ο Montpas, ερευνητής στην εταιρεία ασφάλειας ιστότοπων Jetpack Scan, δήλωσε ότι βρήκε την ευπάθεια κατά τη διάρκεια ενός ελέγχου ασφαλείας του πρόσθετου και παρείχε λεπτομέρειες στους προγραμματιστές του UpdraftPlus την Τρίτη. Μια ημέρα αργότερα, οι προγραμματιστές δημοσίευσαν μια διόρθωση και συμφώνησαν να την εγκαταστήσουν με τη βία σε ιστότοπους WordPress που είχαν εγκατεστημένο το πρόσθετο.
Τα στατιστικά στοιχεία που παρέχονται από το WordPress.org δείχνουν ότι 1,7 εκατομμύρια ιστότοποι έλαβαν την ενημέρωση την Πέμπτη και περισσότεροι από επιπλέον 287.000 την είχαν εγκαταστήσει μέχρι την ώρα του Τύπου. Το WordPress αναφέρει ότι το πρόσθετο έχει 3+ εκατομμύρια χρήστες.
Translated with www.DeepL.com/Translator (free version)
Πηγή : ArsTechnica
Εμφάνιση 1-14 από 14
-
19-02-22, 11:00 Εκατομμύρια site με WordPress λαμβάνουν αναγκαστική ενημέρωση για να επιδιορθώσουν κρίσιμο σφάλμα σε plugin #1
- Εγγραφή
- 22-09-2003
- Μηνύματα
- 81.815
- Downloads
- 218
- Uploads
- 48
- Άρθρα
- 6
- Τύπος
- VDSL2
- Ταχύτητα
- 204800/20480
- ISP
- Wind
- Router
- Technicolor DGA4130
- SNR / Attn
- 6(dB) / 2.8(dB)
- Path Level
- Interleaved
-
19-02-22, 11:15 Απάντηση: Εκατομμύρια site με WordPress λαμβάνουν αναγκαστική ενημέρωση για να επιδιορθώσουν κρίσιμο σφάλμα σε plugin #2
Απλά έλεος ....
-
19-02-22, 11:28 Re: Εκατομμύρια site με WordPress λαμβάνουν αναγκαστική ενημέρωση για να επιδιορθώσουν κρίσιμο σφάλμα σε plugin #3
Παίζει μέρα παρά μέρα να διαβάζουμε για WordPress ευπάθειες.
Όσο περισσότερο σου κλέβουν τη ζωή, τόσο σε ταΐζουν με έθνος και φυλή..
Εθνικισμός και μετανάστες
Μία τάξη, φυλετικά διαχωρισμένη
-
19-02-22, 19:47 Απάντηση: Εκατομμύρια site με WordPress λαμβάνουν αναγκαστική ενημέρωση για να επιδιορθώσουν κρίσιμο σφάλμα σε plugin #4
Πιο σοβαρό δε γίνεται...
-
19-02-22, 19:50 Απάντηση: Re: Εκατομμύρια site με WordPress λαμβάνουν αναγκαστική ενημέρωση για να επιδιορθώσουν κρίσιμο σφάλμα σε plug #5
-
19-02-22, 19:51 Re: Εκατομμύρια site με WordPress λαμβάνουν αναγκαστική ενημέρωση για να επιδιορθώσουν κρίσιμο σφάλμα σε plugin #6
Το WP βασίζεται πολύ στα plugins ή θυμάμαι λάθος?
Όσο περισσότερο σου κλέβουν τη ζωή, τόσο σε ταΐζουν με έθνος και φυλή..
Εθνικισμός και μετανάστες
Μία τάξη, φυλετικά διαχωρισμένη
-
19-02-22, 19:52 Απάντηση: Εκατομμύρια site με WordPress λαμβάνουν αναγκαστική ενημέρωση για να επιδιορθώσουν κρίσιμο σφάλμα σε plugin #7
Βασίζεται, όπως και τα Windows βασίζονται στις εφαρμογές, αλλά δεν μπορούμε να λέμε για καθημερινές ευπάθειες των Windows.
-
19-02-22, 19:54 Re: Απάντηση: Εκατομμύρια site με WordPress λαμβάνουν αναγκαστική ενημέρωση για να επιδιορθώσουν κρίσιμο σφάλμα σε plug #8Όσο περισσότερο σου κλέβουν τη ζωή, τόσο σε ταΐζουν με έθνος και φυλή..
Εθνικισμός και μετανάστες
Μία τάξη, φυλετικά διαχωρισμένη
-
21-02-22, 14:15 Απάντηση: Εκατομμύρια site με WordPress λαμβάνουν αναγκαστική ενημέρωση για να επιδιορθώσουν κρίσιμο σφάλμα σε plugin #9
Ένα πρόβλημα το wordpress
-
21-02-22, 16:33 Απάντηση: Εκατομμύρια site με WordPress λαμβάνουν αναγκαστική ενημέρωση για να επιδιορθώσουν κρίσιμο σφάλμα σε plugin #10
Πρόλαβα και ξήλωσα, πριν ένα μήνα, το UpdraftPlus απ' όλα τα site που το χρησιμοποιούσα και πέρασα σε άλλη paid λύση αυτή τη φορά. Δεν είχα την τύχη να δω αυτό το force update να συμβαίνει (για πρώτη φορά!) στις WP εγκαταστάσεις μου...
-
21-02-22, 18:55 Απάντηση: Εκατομμύρια site με WordPress λαμβάνουν αναγκαστική ενημέρωση για να επιδιορθώσουν κρίσιμο σφάλμα σε plugin #11
Για πες, έτσι από περιέργεια, σε ποια λύση πήγες;
Εγώ προτιμώ που το ενημέρωσαν με το έτσι θέλω (η δυνατότητα είναι στο wordpress βέβαια) παρά το ανελέητο σπαμάρισμα που κάνουν οι κάτοχοι άλλων plugins, π.χ. το iThemes. Αν έχεις κάποια πρόταση δοκιμασμένη και για security και για backup (πλην του AIO ) είμαι όλος αυτιά.
Και με τις προϋποθέσεις που είχε για να λειτουργήσει το vulnerability θεωρώ ότι υπήρχαν μηδαμινές πιθανότητες να παραβιαστούν 'απλά' site.hnesne
-
21-02-22, 22:22 Απάντηση: Εκατομμύρια site με WordPress λαμβάνουν αναγκαστική ενημέρωση για να επιδιορθώσουν κρίσιμο σφάλμα σε plugin #12
-
22-02-22, 00:07 Απάντηση: Εκατομμύρια site με WordPress λαμβάνουν αναγκαστική ενημέρωση για να επιδιορθώσουν κρίσιμο σφάλμα σε plugin #13
Στα υπόψη.
hnesne
-
22-02-22, 15:57 Απάντηση: Εκατομμύρια site με WordPress λαμβάνουν αναγκαστική ενημέρωση για να επιδιορθώσουν κρίσιμο σφάλμα σε plugin #14
Υπόψη https://securityaffairs.co/wordpress...n-attacks.html
Κάθε plug in έχει τα δικά του κατά καιρούς. Μόνο ο τι χρειάζεται, τα υπόλοιπα uninstall όχι deactivated!Μπορείς να συμμετέχεις και εσύ πολύ εύκολα στην ερευνά/αντιμετώπιση διάφορων ασθενιών, δωρίζοντας υπολογιστικούς πόρους του υπολογιστή σου:
(κλικ στην εικόνα)
Bookmarks