导语:Wordpress开发者在周二(10月31日)在新版本(4.8.3)中修复了一系列的SQL注入漏洞。WordPress提示各位站长及时更新。
Wordpress开发者在周二(10月31日)在新版本(4.8.3)中修复了一系列的SQL注入漏洞。WordPress提示各位站长及时更新。
WordPress开发者们这次修复的SQL注入漏洞是由Lingo Live的副总工程师Anthony Ferrara上报的。这个漏洞可以通过Wordpress插件和主题来利用,攻击者可以通过SQL注入攻击来控制易被攻击的网站。现在新的版本里使WordPress的代码已经强化,以抵御该攻击。
“WordPress4.8.2及之前的版本都会受到影响,细节是这样的:$pdb->prepare()可以在未知和不安全的情况下查询,导致潜在的SQL注入(SQLi)。WordPress的核心并不会直接的被影响到,但是插件和主题是容易被影响的,所以我们加强了对这两部分的漏洞防范。以上由Anthony Ferrara反馈得知。”WordPress公开的更新文档中是如此描述的。
这个问题被一个绰号叫“slavco”的研究者与几个月前的一个SQL注入漏洞关联起来了。那个漏洞在9月更新的4.8.2版本的WordPress中就被修补了,但是这个修补却让很多网站被开发团队攻破。而且,这个补丁发布后,Frerrara发现最新版本并没有堵上这些漏洞。
WordPress安全团队用了大概六周才将这个问题解决并发布了合适的补丁。研究者批评了WordPress安全团队处理问题的速度,并表示曾计划在没有收到正式回应的情况下公开披露相关细节。
他们花了整整5周的时间,不得不让人觉得他们是否真的是在修补漏洞。所以在那个时候,我开始威胁他们我要“公开漏洞”,逼迫他们去完整的解决问题(虽然他们在我做出公开威胁之前就已经开始通知进展)。
“安全报告应该“及时”处理,我们所说的及时处理是看到提交问题积极努力的去解决问题,而不是现在的这种应付问题,单纯的应付问题并不能从根本上解决问题,那其实是没有任何作用的。
WordPress发布的版本说明中指出本次更新修改了esc_sql()这个函数的功能。大多数的开发者不会被影响到。如果你想知道更多可以查看开发手记(https://make.wordpress.org/core/2017/10/31/changed-behaviour-of-esc_sql-in-wordpress-4-8-3/)
更新的文件列表:
wp-admin/about.php wp-includes/formatting.php wp-includes/post.php wp-includes/wp-db.php wp-includes/version.php wp-content/plugins