Több millió weboldalt veszélyeztet egy WordPress-es hiba

​A WordPress-hez kapcsolódó Jetpack bővítmény egy súlyos sebezhetőség miatt több millió weboldalt tett kiszolgáltatottá. A hibajavítás már elérhető.
 

Adham Sadaqah biztonsági kutató nevéhez fűződik annak a biztonsági hibának a felfedezése, amely sok millió WordPress alapú weboldalt tett kiszolgáltatottá külső támadásokkal szemben. A sérülékenységre a széles körben használt Jetpack plugin kapcsán derült fény. Ezt a bővítményt jelenleg több mint ötmillió weboldalon használják aktívan, tehát egy nagyon jelentős támadási felületről beszélhetünk a hiba kapcsán.
 
A Jetpack számos hasznos biztonsági funkcióval egészíti ki a WordPress-t. Így például védelmet biztosít egyes brute force támadásokkal szemben, lehetőséget ad a webhelyek biztonsági mentésére, kibővíti a hitelesítések védelmi szintjét, és lehetőséget ad kártékony kódok felderítésére. Sajnos most éppen e biztonsági szempontból kedvelt összetevőben jelentkezett egy súlyos sérülékenység.
 
A sebezhetőség technikai részleteit egyelőre nem hozták nyilvánosságra a fejlesztők, akiknek jelenleg nincs tudomásuk arról, hogy a hiba kihasználására alkalmas exploit felbukkant volna az interneten. Azonban minden bizonnyal ez csak idő kérdése.
 
Annyit lehet tudni, hogy a biztonsági rés a Jetpack beágyazott kódokat kezelő egyik összetevőjét érinti. Mégpedig a 2017 nyarán megjelent 5.1-es kiadástól kezdődően a 7.9-es verzióig bezárólag. Ezért aztán számos kiadást kellett foltozniuk a fejlesztőknek, hogy minél hamarabb, minél több weboldal esetében lehessen elvégezni a frissítést. A következő kiadások már nem tartalmazzák a biztonsági hibát: 5.1.1, 5.2.2, 5.3.1, 5.4.1, 5.5.2, 5.6.2, 5.7.2, 5.8.1, 5.9.1, 6.0.1, 6.1.2, 6.2.2, 6.3.4, 6.4.3, 6.5.1, 6.6.2, 6.7.1, 6.8.2, 6.9.1, 7.0.2, 7.1.2, 7.2.2, 7.3.2, 7.4.2, 7.5.4, 7.6.1, 7.7.3, 7.8.1, 7.9.1.
 
A fejlesztők a frissítések minél előbbi elvégzésére buzdítanak, mivel nem lehet kizárni, hogy a közeljövőben szélesebb körű támadások veszik kezdetüket a sérülékenység kihasználásával.
Vélemények
 
  1. 4

    Az Apple Safari legújabb verziója négy biztonsági rést segít befoltozni.

  2. 4

    Az Apple iOS és az iPadOS 14-es kiadása biztonsági hibajavításokkal is szolgál.

  3. 2

    ​A WastedLocker zsaroló program nagy felfordulást képest okozni a számítógépeken, és biztonsági mentések hiányában akár helyreállíthatatlan károkat is előidézhet.

 
Partnerhírek
​Az ESET kutatói felfedezték a KryptoCibule-t

Egy korábban nem ismert rosszindulatú trójai szoftvercsaládot fedeztek fel az ESET kutatói, amely kártékony torrenteken keresztül terjedve többféle trükköt is bevet annak érdekében, hogy annyi kriptovalutától fossza meg áldozatait, amennyitől csak lehetséges – mindezt észrevétlenül.

Hogyan tehetjük biztonságosabbá a TikTok fiókunkat?

​A TikTok három évvel ezelőtt robbant be a köztudatba, azóta pedig töretlen népszerűségnek örvend, hiszen mára a második legnépszerűbb social média platformmá nőtte ki magát.

hirdetés
Közösség