The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

В 12 из 50 самых популярных плагинов к WordPress выявлены уязвимости

20.06.2013 10:54

Компания Checkmarx провела анализ (PDF, 600 Кб) безопасности 50 наиболее популярных плагинов к ориентированной на создание блогов системе управления web-контентом WordPress. Итоги оказались плачевными - 12 плагинов из 50 (24%) оказались уязвимыми к типичным атакам на web-приложения, таким как подстановка SQL-кода, доступ к файлам в вышестоящим директориям (например через указание "../" в пути), межсайтовый скриптинг (XSS) и подделка межсайтовых запросов (CSRF).

При сужении выборки до 10 самых популярных плагинов, связанных с электронной коммерцией, уязвимости были выявлены в 7 (70%). С учётом того, что WordPress используется для обеспечения работы приблизительно 60 млн сайтов в сети, что составляет примерно 18% от числа всех сайтов в Web, проблема принимает угрожающий характер. Точные данные по числу сайтов использующих те или иные плагины не приводится, но известно, что в сумме было загружено 8 млн копий уязвимых плагинов (1.7 млн если рассматривать только плагины для электронной коммерции).

По мнению Checkmarx столь внушительное распространение уязвимых плагинов объясняется беспечностью администраторов сайтов, не пытающихся убедиться в том что плагин безопасен и уверенных, что загружая плагин из достоверного источника они получают безопасный код. С другой стороны распространению уязвимостей способствует отсутствие должного тестирования плагинов на наличие проблем с безопасностью и отсутствие стандартов на проверку приложений, предоставляемых для запуска в PaaS-сервисах или загрузки из каталога WordPress.org.

Примечательно, что проведённое в январе аналогичное исследование выявило 18 уязвимых плагинов для которых зафиксировано 18.5 млн загрузок, а повторная проверка, выполненная спустя 6 месяцев, показала, что уязвимости по прежнему сохраняются в 12 из них. Таким образом только в 6 плагинах уязвимости были устранены в течение 6 месяцев, несмотря на то, что функциональные обновления за указанный период были выпущены для всех плагинов. В качестве возможной меры по исправлению ситуации с безопасностью плагинов предлагается ужесточить критерии приёма плагинов в каталог WordPress.org, допуская размещение только плагинов прошедших проверку безопасности кода.

  1. Главная ссылка к новости (http://www.eweek.com/security/...)
  2. OpenNews: Опасные уязвимости во FreeBSD, ядре Linux, tinc, memcached, Joomla и плагинах кэширования для WordPress
  3. OpenNews: Зафиксирована массовая атака, нацеленная на создание ботнета из сайтов на базе WordPress
  4. OpenNews: Виджет социальных сетей для WordPress оказался источником спама
  5. OpenNews: Уязвимые сайты на базе Joomla и WordPress в массовом порядке вовлечены в распространение вредоносного ПО
  6. OpenNews: 14.7% из миллиона самых популярных сайтов работают под управлением WordPress
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/37227-wordpress
Ключевые слова: wordpress, security, plugin
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (31) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (-), 11:41, 20/06/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Кто бы ownCloud проверил на уязвимости...
     
     
  • 2.2, Аноним (-), 11:53, 20/06/2013 [^] [^^] [^^^] [ответить]  
  • +/
    ownCloud же не выставляют в общий доступ.
     
     
  • 3.3, Andrey Mitrofanov (?), 11:54, 20/06/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > ownCloud же не выставляют в общий доступ.

    А не на них запускают "произвольные" сервисы?

     
  • 3.9, Аноним (-), 13:39, 20/06/2013 [^] [^^] [^^^] [ответить]  
  • +/
    но в интернет то выставляется, а значит может быть атакован
     

  • 1.4, анон (?), 12:27, 20/06/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    php?
     
     
  • 2.5, Xasd (ok), 12:45, 20/06/2013 [^] [^^] [^^^] [ответить]  
  • +7 +/
    PHP -- это не причина -- а возможное следствие. :)

    а причина -- кривые руки. :)

    [суть: не все PHP-программисты криворукие.. но зачустую кривизна рук заставляет использовать именно PHP :)]

    такие же криворукие -- и да же вообще без серверного кода (без PHP) -- делают ошибки на ровном месте (XSS) , а потом не хотят призновать что в их коде есть XSS, даже когда на строчку с XSS показывают пальцем.

    вот очередной пример криворукости: на этот раз облажался (и до сох пор лажает) автор популярнейшего компонента -- fancyBox:

    http://fancyapps-fancybox-escaping-bugfix.github.io/demo/demo-1/demo-1.html

    https://github.com/fancyapps/fancyBox/issues/615

    автор компонента fancyBox -- думает что если он пишет код на Javascript (а не на PHP), то значит Javascript освобождает автора от обязанности экранировать значения HTML-атрибутов в случаях когда происходит формирование HTML-кода напрямую из текста (а не через Document Object Model).

    бывают же идиоты которые вдолбили себе в голову что XSS это сугубо серверная ошибка -- и не хотят даже пару раз поразмыслить головой.

     
  • 2.16, Нанобот (?), 15:11, 20/06/2013 [^] [^^] [^^^] [ответить]  
  • +/
    дык, естественно
     

  • 1.6, blablabla (ok), 13:02, 20/06/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ну а что тут удивительного
    Бот сети то надо же как то пополнять
     
  • 1.7, Alexander (??), 13:11, 20/06/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Сам WordPress - это одна большая уязвимость.
     
     
  • 2.8, Xasd (ok), 13:18, 20/06/2013 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > Сам WordPress - это одна большая уязвимость.

    разве?

    в новости же говорится лишь про плугины к нему.

    аналогия:

    если Firefox обвешать говнорасширениями -- то он станет тупить и тормозить...

    ...но это же НЕ значит что Firefox это тупая и тормознутая программа :) .

     

  • 1.10, arisu (ok), 13:42, 20/06/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Компания Checkmarx провела анализ безопасности 50 наиболее популярных плагинов
    > к ориентированной на создание блогов системе управления web-контентом WordPress.

    …в результате исследователи поразбивали лица фэйспалмами и смогли хором произнести только одно слово: «пи…ец!»

     
     
  • 2.22, 80е (?), 19:00, 20/06/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Пока что это «исследование» есть песня ртом.
     

  • 1.11, lucentcode (ok), 13:43, 20/06/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А чего вы ожидали от плагинов, написанных к одному из самых дырявых движков в Сети. Сама архитектура Wordpress крайне уродлива, и способствует написанию быдлокода. Добавьте к этому ещё и низкий профессиональный уровень многих людей, которые пишут расширения для этого движка - и всё становится ясно. Кто хочет надёжности, тому нужен Drupal(правда прийдётся разориться на хостинг).
     
     
  • 2.12, emg81 (ok), 14:18, 20/06/2013 [^] [^^] [^^^] [ответить]  
  • +/
    "разориться"? :-D
    ну, наверное, если посещаемость свыше 10000 чел / день, то да, а на скромные сайты из нескольких десятков анонимусов можно по 20-50 коп. в день тратить
     
  • 2.13, бедный буратино (ok), 14:20, 20/06/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    - Изобразите нам что-нибудь эротическое, но с крутым обломом в конце?
    - А-а-а-а-а-....апчхи!!!
     

  • 1.14, Аноним (-), 14:20, 20/06/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Чему тут удивляться? Да весь интернет слеплен из гoвна и палок.
     
     
  • 2.15, бедный буратино (ok), 14:28, 20/06/2013 [^] [^^] [^^^] [ответить]  
  • +3 +/
    и анонимов. важное связующее звено
     
     
  • 3.25, Crazy Alex (ok), 19:49, 20/06/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Я бы сказал, что анонимы являются подвидом одной из двух указанных категорий. Блин, неужели так сложно ник зарегистрировать? Хрен поймешь даже, сколько анонимов в беседе участвуют, а уж кому отвечаешь - и подавно.
     
     
  • 4.26, arisu (ok), 21:25, 20/06/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    да ну. хороший анонимус от другого хорошего анонимуса отличается. а если не отличаются, то без разницы, сколько дураков в стопке.
     
     
  • 5.28, Аноним (-), 01:41, 21/06/2013 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Конечно! Важно сколько в ней зарегистрированных дураков!
     
     
  • 6.31, Аноним (-), 12:19, 21/06/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > Конечно! Важно сколько в ней зарегистрированных дураков!

    И арису с буратиной возглавляют колонну этих самых особей :))))))))))))))))))))

     
     
  • 7.32, бедный буратино (ok), 12:40, 21/06/2013 [^] [^^] [^^^] [ответить]  
  • +/
    >> Конечно! Важно сколько в ней зарегистрированных дураков!
    > И арису с буратиной возглавляют колонну этих самых особей :))))))))))))))))))))

    Смотрю, буратино уже вышел из-под контроля.

     

  • 1.17, Нанобот (?), 15:17, 20/06/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    в самом отчёте пишут "Checkmarx ran an automated static code analysis scan against the most popular plugins".

    иными словами, у них есть некий софт для автоматического поиска багов, только делиться они им не хотят. вместо этого предлагают всякие бесполезные в реальном мире решения, вроде "ужесточить критерии приёма плагинов"

     
     
  • 2.18, arisu (ok), 15:46, 20/06/2013 [^] [^^] [^^^] [ответить]  
  • +/
    они предлагают нормальные решения. невозможно при помощи автоматики решить проблему кизза в голове.
     
  • 2.19, YetAnotherOnanym (ok), 16:30, 20/06/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Нешто на их средствах для аудита свет клином сошёлся? Google://automated source code audit tools
     
  • 2.23, 80е (?), 19:03, 20/06/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > в самом отчёте пишут "Checkmarx ran an automated static code analysis scan
    > against the most popular plugins".
    > иными словами, у них есть некий софт для автоматического поиска багов, только
    > делиться они им не хотят. вместо этого предлагают всякие бесполезные в
    > реальном мире решения, вроде "ужесточить критерии приёма плагинов"

    иными словами, их «code analysis scan» может оказаться false positive и к определению уязвимостей отношения не иметь.

     
     
  • 3.24, Andrey Mitrofanov (?), 19:45, 20/06/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > иными словами, их «code analysis scan» может оказаться false positive и к
    > определению уязвимостей отношения не иметь.

    простыми словами, разговоры в пользу бедных продавцов неоткры^Wзакрытого как обычно оказываются маркетинговым булшитом

     
     
  • 4.27, 80е (?), 22:28, 20/06/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > простыми словами, разговоры в пользу бедных продавцов
    > неоткры^Wзакрытого как обычно оказываются маркетинговым булшитом

    Как минимум, купить этот товар Checkmarx предлагает.

     
     
  • 5.30, Andrey Mitrofanov (?), 12:07, 21/06/2013 [^] [^^] [^^^] [ответить]  
  • +/
    >> как обычно оказываются маркетинговым булшитом
    > Как минимум, купить этот товар Checkmarx предлагает.

    ""маркетинговым булшитом с целью развода не деньги""

    Принимается!

     

  • 1.20, Sylvia (ok), 17:26, 20/06/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    список (в надежде авторов на исправление ) открыто не оглашают? а жаль, я вот думаю что быстро не исправятся, даже сами вордпрессы не чешутся совсем с исправлением CVE-2013-2173 (DDOS на защищенные паролем блоги), надо бы им "задать амплитуду"
     
     
  • 2.29, Аноним (-), 10:38, 21/06/2013 [^] [^^] [^^^] [ответить]  
  • +/
    вот и приходится нам, админам, самим проверять тот софт, что используем
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру