forum.opennet.ru - "В WordPress 3.x выявлена уязвимость, позволяющая подставить ..." (19)

"В WordPress 3.x выявлена уязвимость, позволяющая подставить ..."

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"В WordPress 3.x выявлена уязвимость, позволяющая подставить ..."	+1 +/–
Сообщение от opennews (??), 24-Ноя-14, 18:58
Все сайты, основанные на системе управления контентом WordPress 3.x и допускающие размещение комментариев к публикациям, подвержены опасной уязвимости (http://klikki.fi/adv/wordpress_press.html), позволяющей атакующему разместить специально оформленный комментарий, при просмотре которого будет выполнен JavaScript код злоумышленника. Для демонстрации опасности выявленной проблемы была подготовлена атака, позволившая незаметно организовать перехват параметров сессии администратора блога, просмотревшего вредоносный комментарий, и использования перехваченной информации для создания новой привилегированной учётной записи и использования редактора плагинов для организации выполнения PHP-кода на сервере. Недавно представленный выпуск WordPress 4.0 проблеме не подвержен, но разработчики выпустили (https://wordpress.org/news/2014/11/wordpress-4-0-1/) корректирующий выпуск WordPress 4.0.1, в который интегрированы некоторые дополнительные механизмы защиты. На данный выпуск рекомендовано срочно перейти всем пользователей ветки WordPress 3.x, поддержка которой уже прекращена. По предварительной оценке проблема присутствует на примерно 86% сайтов, построенных с использованием WordPress. URL: http://arstechnica.com/security/2014/11/four-year-old-commen.../ Новость: http://www.opennet.ru/opennews/art.shtml?num=41119
Ответить \| Правка \| Cообщить модератору

Оглавление

Авторы WordPress прекратили поддержку 86 сайтов, построенных с использованием W, Аноним (-), 18:58 , 24-Ноя-14, (1) +2

Строго говоря авторы ВордПресса не должны заниматься поддержкой сайтов Они до, A.Stahl (ok), 19:12 , 24-Ноя-14, (4) +19

Не цепляйся к словам, имелось ввиду 171 86 своих пользователей 187 , хотя на, Аноним (-), 19:58 , 24-Ноя-14, (5)

Или Аноним читает новость через строчку , Аноним (-), 13:54 , 25-Ноя-14, (19) +1

и чё сделать, чтобы поюзать почему самый смак новости отпустили , бедный буратино (ok), 20:14 , 24-Ноя-14, (6) –4

Чтоб мамкины хакеры не полезли хакать всё подряд, очевидно , Аноним (-), 20:41 , 24-Ноя-14, (7) +1

А вот зря Чем выше активность мамкиных хакеров, тем больше простой народ у мен, anonymous (??), 21:07 , 24-Ноя-14, (8) +4
что за ущемление прав мамкиных хакеров , бедный буратино (ok), 21:08 , 24-Ноя-14, (9) +11

Скорее ущемление тех кто не умеет читать и ходить по ссылкам - у этих фиников на, Аноним (-), 21:38 , 24-Ноя-14, (11) +1

Настоящие джедаи по ссылкам не ходят и поэтому PoC эти ламаки не нашли А напрас, Аноним (-), 21:36 , 24-Ноя-14, (10) –1

Worm press vs jumpla, Аноним (-), 22:29 , 24-Ноя-14, (13) –1

Тогда и Drupal туда же Недавно сказали, что все сайты, кто не успел обновиться,, th3m3 (ok), 22:33 , 24-Ноя-14, (14) +1

Учитывая, сколько дыр регулярно находят а сколько ещё не нашли в Wordpress и , Аноним (-), 07:19 , 25-Ноя-14, (15)

О Сотрудники битрикса подвалили Чо, продажи падают , Аноним (-), 10:21 , 25-Ноя-14, (16)

Ха В Битриксе дыры заботливо создают сами разрабы платформы, ведь это хлеб для , Аноним (-), 10:35 , 25-Ноя-14, (17)

И сколько Обычно дыры - в всяких левых дополнениях В самом вордпрессе их мало , Аноним (-), 16:06 , 27-Ноя-14, (21)

Это php, ничего не поделать , anonymous (??), 11:00 , 25-Ноя-14, (18) –2

Япон-батон, дак хоть бы права на скрипты на чтение выставляли Глядишь, и ломалос, yutoks (?), 19:34 , 25-Ноя-14, (20) –1

Вы что, глупые Тут проблема в слабой валидации входных данных При этом не важн, Аноним (-), 16:08 , 27-Ноя-14, (22)

Сообщения [Сортировка по ответам | RSS]

1. Сообщение от Аноним (-), 24-Ноя-14, 18:58 +2 +/–

Авторы WordPress прекратили поддержку 86% сайтов, построенных с использованием WordPress. Нда.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #4, #19

4. Сообщение от A.Stahl (ok), 24-Ноя-14, 19:12 +19 +/–

Строго говоря авторы ВордПресса не должны заниматься "поддержкой сайтов". Они должны заниматься поддержкой своей программы. Они это делают. Остальное -- проблемы админов сайтов, которые не хотят/не могут обновиться на актуальную версию.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #5

5. Сообщение от Аноним (-), 24-Ноя-14, 19:58 +/–

Не цепляйся к словам, имелось ввиду «86% своих пользователей», хотя на самом деле это не так, патчи для 3.x вышли, в новости не верно было написано (теперь дополнили).

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

6. Сообщение от бедный буратино (ok), 24-Ноя-14, 20:14 –4 +/–

и чё сделать, чтобы поюзать? почему самый смак новости отпустили?

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #7, #10

7. Сообщение от Аноним (-), 24-Ноя-14, 20:41 +1 +/–

Чтоб мамкины хакеры не полезли хакать всё подряд, очевидно.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #8, #9

8. Сообщение от anonymous (??), 24-Ноя-14, 21:07 +4 +/–

А вот зря. Чем выше активность мамкиных хакеров, тем больше простой народ "у меня нечего хакать" будет думать о безопасности.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7

9. Сообщение от бедный буратино (ok), 24-Ноя-14, 21:08 +11 +/–

что за ущемление прав мамкиных хакеров?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #11

10. Сообщение от Аноним (-), 24-Ноя-14, 21:36 –1 +/–

Настоящие джедаи по ссылкам не ходят и поэтому PoC эти ламаки не нашли. А напрасно, он симпатичную картинку из амиги показывает на уязвимых вордпрессах.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6

11. Сообщение от Аноним (-), 24-Ноя-14, 21:38 +1 +/–

> что за ущемление прав мамкиных хакеров?
Скорее ущемление тех кто не умеет читать и ходить по ссылкам - у этих фиников на самом видном месте колоритный PoC выложен :).

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9

13. Сообщение от Аноним (-), 24-Ноя-14, 22:29 –1 +/–

Worm press vs jumpla

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #14

14. Сообщение от th3m3 (ok), 24-Ноя-14, 22:33 +1 +/–

Тогда и Drupal туда же. Недавно сказали, что все сайты, кто не успел обновиться, являются скомпрометированными.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13 Ответы: #15

15. Сообщение от Аноним (-), 25-Ноя-14, 07:19 +/–

Учитывая, сколько дыр регулярно находят (а сколько ещё не нашли!) в Wordpress и Joomla, сайты на этих движках можно считать перманентно скомпрометированными.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14 Ответы: #16, #21

16. Сообщение от Аноним (-), 25-Ноя-14, 10:21 +/–

О! Сотрудники битрикса подвалили. Чо, продажи падают?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15 Ответы: #17

17. Сообщение от Аноним (-), 25-Ноя-14, 10:35 +/–

Ха! В Битриксе дыры заботливо создают сами разрабы платформы, ведь это хлеб для специально обученных обезьян.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16

18. Сообщение от anonymous (??), 25-Ноя-14, 11:00 –2 +/–

Это php, ничего не поделать.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #20

19. Сообщение от Аноним (-), 25-Ноя-14, 13:54 +1 +/–

> Для тех, кто не может срочно мигрировать на ветку 4.0, подготовлены внеплановые корректирующие выпуски 3.9.3, 3.8.5 и 3.7.5.
Или Аноним читает новость через строчку?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

20. Сообщение от yutoks (?), 25-Ноя-14, 19:34 –1 +/–

Япон-батон, дак хоть бы права на скрипты на чтение выставляли.
Глядишь, и ломалось бы поменьше.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18 Ответы: #22

21. Сообщение от Аноним (-), 27-Ноя-14, 16:06 +/–

> Учитывая, сколько дыр регулярно находят (а сколько ещё не нашли!) в Wordpress
И сколько? Обычно дыры - в всяких левых дополнениях. В самом вордпрессе их мало.
> и Joomla, сайты на этих движках можно считать перманентно скомпрометированными.
Как ни странно - и с ней та же история.
Ну и кроме того оба продукта популярны. Да, в Pupkin's CMS дыр нет. Потому что хакеры никак не могут найти хоть 1 инсталляцию, чтобы попытаться ее сломать :)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15

22. Сообщение от Аноним (-), 27-Ноя-14, 16:08 +/–

> Япон-батон, дак хоть бы права на скрипты на чтение выставляли.
> Глядишь, и ломалось бы поменьше.
Вы что, глупые? Тут проблема в слабой валидации входных данных. При этом не важно на чем она сделана. А права на чтение ... админу? А админить он как потом будет? Может компьютер сразу от сети отключить? Так хакеры уж точно обломаются.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. Сообщение от Аноним (-), 24-Ноя-14, 18:58	+2 +/–
Авторы WordPress прекратили поддержку 86% сайтов, построенных с использованием WordPress. Нда.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #4, #19

4. Сообщение от A.Stahl (ok), 24-Ноя-14, 19:12	+19 +/–
Строго говоря авторы ВордПресса не должны заниматься "поддержкой сайтов". Они должны заниматься поддержкой своей программы. Они это делают. Остальное -- проблемы админов сайтов, которые не хотят/не могут обновиться на актуальную версию.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #1 Ответы: #5

5. Сообщение от Аноним (-), 24-Ноя-14, 19:58	+/–
Не цепляйся к словам, имелось ввиду «86% своих пользователей», хотя на самом деле это не так, патчи для 3.x вышли, в новости не верно было написано (теперь дополнили).
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #4

6. Сообщение от бедный буратино (ok), 24-Ноя-14, 20:14	–4 +/–
и чё сделать, чтобы поюзать? почему самый смак новости отпустили?
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #7, #10

7. Сообщение от Аноним (-), 24-Ноя-14, 20:41	+1 +/–
Чтоб мамкины хакеры не полезли хакать всё подряд, очевидно.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #6 Ответы: #8, #9

8. Сообщение от anonymous (??), 24-Ноя-14, 21:07	+4 +/–
А вот зря. Чем выше активность мамкиных хакеров, тем больше простой народ "у меня нечего хакать" будет думать о безопасности.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #7

9. Сообщение от бедный буратино (ok), 24-Ноя-14, 21:08	+11 +/–
что за ущемление прав мамкиных хакеров?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #7 Ответы: #11

10. Сообщение от Аноним (-), 24-Ноя-14, 21:36	–1 +/–
Настоящие джедаи по ссылкам не ходят и поэтому PoC эти ламаки не нашли. А напрасно, он симпатичную картинку из амиги показывает на уязвимых вордпрессах.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #6

11. Сообщение от Аноним (-), 24-Ноя-14, 21:38	+1 +/–
> что за ущемление прав мамкиных хакеров? Скорее ущемление тех кто не умеет читать и ходить по ссылкам - у этих фиников на самом видном месте колоритный PoC выложен :).
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #9

13. Сообщение от Аноним (-), 24-Ноя-14, 22:29	–1 +/–
Worm press vs jumpla
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #14

14. Сообщение от th3m3 (ok), 24-Ноя-14, 22:33	+1 +/–
Тогда и Drupal туда же. Недавно сказали, что все сайты, кто не успел обновиться, являются скомпрометированными.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #13 Ответы: #15

15. Сообщение от Аноним (-), 25-Ноя-14, 07:19	+/–
Учитывая, сколько дыр регулярно находят (а сколько ещё не нашли!) в Wordpress и Joomla, сайты на этих движках можно считать перманентно скомпрометированными.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #14 Ответы: #16, #21

16. Сообщение от Аноним (-), 25-Ноя-14, 10:21	+/–
О! Сотрудники битрикса подвалили. Чо, продажи падают?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #15 Ответы: #17

17. Сообщение от Аноним (-), 25-Ноя-14, 10:35	+/–
Ха! В Битриксе дыры заботливо создают сами разрабы платформы, ведь это хлеб для специально обученных обезьян.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #16

18. Сообщение от anonymous (??), 25-Ноя-14, 11:00	–2 +/–
Это php, ничего не поделать.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #20

19. Сообщение от Аноним (-), 25-Ноя-14, 13:54	+1 +/–
> Для тех, кто не может срочно мигрировать на ветку 4.0, подготовлены внеплановые корректирующие выпуски 3.9.3, 3.8.5 и 3.7.5. Или Аноним читает новость через строчку?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #1

20. Сообщение от yutoks (?), 25-Ноя-14, 19:34	–1 +/–
Япон-батон, дак хоть бы права на скрипты на чтение выставляли. Глядишь, и ломалось бы поменьше.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #18 Ответы: #22

21. Сообщение от Аноним (-), 27-Ноя-14, 16:06	+/–
> Учитывая, сколько дыр регулярно находят (а сколько ещё не нашли!) в Wordpress И сколько? Обычно дыры - в всяких левых дополнениях. В самом вордпрессе их мало. > и Joomla, сайты на этих движках можно считать перманентно скомпрометированными. Как ни странно - и с ней та же история. Ну и кроме того оба продукта популярны. Да, в Pupkin's CMS дыр нет. Потому что хакеры никак не могут найти хоть 1 инсталляцию, чтобы попытаться ее сломать :)
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #15

22. Сообщение от Аноним (-), 27-Ноя-14, 16:08	+/–
> Япон-батон, дак хоть бы права на скрипты на чтение выставляли. > Глядишь, и ломалось бы поменьше. Вы что, глупые? Тут проблема в слабой валидации входных данных. При этом не важно на чем она сделана. А права на чтение ... админу? А админить он как потом будет? Может компьютер сразу от сети отключить? Так хакеры уж точно обломаются.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #20