You are here: Home » WordPress » O čem byla poslední aktualizace WordPress 4.4.2

O čem byla poslední aktualizace WordPress 4.4.2

Aktualizace WordPress 4.4.2 proběhla poměrně velmi rychle, což svědčí o její důležitosti. Důvodem je oprava dvou bezpečnostních chyb. Jedna se dala zneužít pro SSRF a druhá pro open redirection. Dále bylo opraveno 17 chyb, které se nacházely ve verzích 4.4 a 4.4.1.

SSRF (Server Side Request Forgery) je útok, kdy se využije neošetřený vstup ve skriptu k vložení URL. Po spuštění skriptu, pak tento skript vloženou URL zavolá. Praktické využití tohoto útoku je například jednoduchý DoS útok, obejití zabezpečení pomocí firewall (například whitelist), popřípadě zavolání nějakého konkrétního skriptu na daném serveru, který něco spustí. Podle vývojářů však není jednoduché vytvořit ideální podmínky pro provedení útoku.

Přeštěte si   Co je největší slabinou WordPress

Open redirection je slabina, která útočníkovi umožní vložit vlastní přesměrování. Většinou se takto maskují přesměrování na externí stránku s phishing anebo malware. Zranitelnost se nachází na přihlašovací stránce, což je velice nebezpečné právě pro zmíněný phishing.

Z dalších chyb, které by nás mohli zajímat je problém u obrázků obsahujících v exif zřejmě nejen české a slovenské znaky (latin extended). Náhledy (thumbnail) a další velikosti sice WordPress. vytvořil ale nepřidal do knihovny médií. Dále pak pracoval jen s jejich nezmenšenou verzí, přitom na disku se nachází.

K důležité změně došlo i u emoji. WordPress je nahrazuje obrázky z adresy s.w.org. Byl zde však problém s přesměrováním u CDN a nepoužívalo se šifrované spojení (HTTPS). Po aktualizaci už bude, takže se je nemusíte bát používat i pokud chcete poskytnout návštěvníkům maximální soukromí. Správně by totiž na stránce, ke které návštěvník přistupuje přes zabezpečený protokol měly být všechny prvky stahované také přes HTTPS.

Přeštěte si   Co je nového ve WordPress 4.7

Byl opraven i problém s nekonečným přesměrováním. Objevil se u pluginů na přesměrování a pluginu pro hezkou URL v kombinaci se statickou stránku, která je nastavená jako hlavní (domovská).

Další opravy jsou spíše méně významné, ovšem opravit je chtělo 🙂

Problémy po aktualizaci na WordPress 4.4.2

Vzhledem k tomu, že došlo k několika zásahům do jádra, objevilo se několik pluginů, které mají problém a je třeba je aktualizovat. Takže pokud některý z nich dělá problémy, vypněte jej a počkejte na aktualizaci.

Share Button

Programuju v PHP už několik let spíše pro zábavu. Baví mě WordPress, protože tak lenivým lidem jako jsem já ušetří spoustu času. A rád sbírám reklamní flash disky. Tento blog používám pro utřídění myšlenek.

http://n-host.cz

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *