Pull to refresh

Comments 32

На данный момент попытки эксплуатации описанной уязвимости уже встречаются. Их пока нельзя назвать массовыми – но если у вас старый WordPress, стоит всё-таки обновиться.

Теперь это лишь вопрос времени.
о, а как залиться через wordpress? у меня так и не получилось с 3.9
Это работает в случае «родной» системы комментирования. А если установлена сторонняя?
В сторонних плагинах для комментирования, например Disqus или Cackle, уязвимость отсутствует, так как форматирование HTML не производится вордпрессом.
Данная уязвимость касается всех версий WordPress от 3.0 и выше. Проблема решается обновлением движка до версии 4, где такой проблемы нет.


Таки это не совсем правда. С версии 3.7 в WP появилось автообновление и 20 ноября вышел патч, закрывающий данную уязвимость. Так что обладателям версий 3.9.3, 3.8.5 и 3.7.5 не стоит волноваться.
Стоял 3.9.3 и автообновление не сработало, обновил на 4.0.1 вручную. Левых комментариев не заметил, хотя блог старый но малопосещяемый.
Автообновление вордпресса непонятно как работает, иногда автообновляется само, а иногда нет. Закономерности в автообновлениях я так и не понял.
Оно работает но постепенно. Я занимаюсь разработкой WP и каждый раз когда выходит такое обновление я получаю овер 30 писем от разных сайтов, где указана моя почта в качестве админской. Как правило все эти сайты обновляются в течении 1-3 дней. Думаю это сделано специально чтобы не создавать хаброэффект.

Кстати эту функцию можно отключить. Проверьте, может она у Вас выключена?
Обновки ставились, но не всегда, видимо как сказали ниже обновляет оно только минорные версии. Теперь знаю как выключить совсем :D
Автообновление обновляет только минорные версии. Это сделано для того, чтобы сохранить совместимость и работоспособность плагинов и тем.
То есть, если у Вас была версия 3.9.2, то он обновил до 3.9.3. В версии 3.9.3 была закрыта эта уязвимость, так что обновляться до 4.0.1 только для фикса этой уязвимости было необязательно.
Я так однажды с 3.4.2 на 3.4.5 обновился — шаблон работать вообще перестал =)
Теперь понятно. Непонятно только если уж WP так упёрся что обновляет только минорные версии якобы в заботе о пользователях и их совместимостях, то что мешали выкатить версию 3.9.4. с фиксом безопасности..? Иначе получается что пользы от этих автоапдейтов нет тогда когда они критически нужны.
Обновление 3.9.3 итак содержит фикс для этой уязвимости, 0day отписал же выше, что критическое обновление вышло для всех веток, начиная с 3.7.
Поизучал вопрос, действительно фикс есть в 3.9.3.
Да, вы правы. Около 30% могут спастись автообновлением (если оно работает). Но останется еще более 50% уязвимых пользователей. По-прежнему миллионы. Так что в конечном итоге время жизни уязвимости всё равно будет определяться тем, как будут обновятся эти остальные — которые вручную.
Из которых половина не заходит в админ-интерфейс, потому что давно забросила сайт.
Но проблему это не решает, естественно.
Если быть точнее, то не около 30%, а 47%. И да, более 50% сайтов остаются потенциально уязвимыми. Из них большая часть скрываются за добросовестными хостинг-провайдерами, которые фильтруют уязвимость на уровне веб-сервера, так что на практике цифра гораздо меньше 84%, которая у вас указано в заголовке.
Тоже хотел об этом отписаться. До минорных версий WP начиная с версии 3.7 обновляется автоматом.

Но суть проблемы не в WordPress, а в людях которые его используют. Это как обвинять автопроизводителя потому что водитель не сменил вовремя тормозную жидкость и попал в аварию по причине неисправности тормозной системы.
Простите за оффтопик, но у этой финской компании со смешным названием просто ОФИГЕННЫЙ дизайн сайта. klikki.fi Просто песня. Извините еще раз. #fapfapfap
Сразу отключил стандартное комментирование (работает через сторонний виджет, который позволяет комментировать, к примеру, при наличии учетки вКонтакте итд) и отключил поиск по блогу. Воткнул в тему поиск по блогу через google. Благо сайту не первый год, индексация хорошо идет и выдает что надо. Так же закрыл панель входа в админку через htaccess. Кажется, провести атаку посредствам XSS я отсек. Поля ввода на сайте не доступны никому. Или ошибаюсь?
Я правильно понимаю, что если на сайте отключена возможность комментирования — сайту ничего не грозит?
«ничего не грозит» — это слишком оптимистичное заявление. Не грозить может какая-то конкретная уязвимость.
Этот пост про конкретную уязвимость, наверно она и имелась в виду.
Да, с kibana можно делать отличные дашборды, мы разрабатываем еще более удобный форк.
Не подскажете, как можно сделать такую же подсветку синтаксиса (данных post-запроса), как на скриншоте у PT? Год назад немного знакомился с кибаной (версии 3 вроде).

И можно ссылку на форк?)
*занудство on* А как «Pwned!» на первой картинке превратилось в "[a Be Pwned" на второй? *занудство off*
первые две буквы коммента на первой картинке [a
А «Be» и восклицательный знак?
А «Be» превратилось в восклицательный знак, по моему логично.
Only those users with full accounts are able to leave comments. Log in, please.