Loading
0

WordPress 4.8.3 這次的更新有故事 站長們還請快快更新

WordPress開發者在周二(10月31日)在新版本(4.8.3)中修復了一系列的SQL注入漏洞。WordPress提示各位站長及時更新。

WordPress開發者們這次修復的SQL注入漏洞是由Lingo Live的副總工程師Anthony Ferrara上報的。這個漏洞可以通過Wordpress插件和主題來利用,攻擊者可以通過SQL注入攻擊來控制易被攻擊的網站?,F在新的版本里使WordPress的代碼已經強化,以抵御該攻擊。

“WordPress4.8.2及之前的版本都會受到影響,細節是這樣的:$pdb->prepare()可以在未知和不安全的情況下查詢,導致潛在的SQL注入(SQLi)。WordPress的核心并不會直接的被影響到,但是插件和主題是容易被影響的,所以我們加強了對這兩部分的漏洞防范。以上由Anthony Ferrara反饋得知?!?a href="http://www.1781857.live/tag/wordpress" title="WordPress">WordPress公開的更新文檔中是如此描述的。

這個問題被一個綽號叫“slavco”的研究者與幾個月前的一個SQL注入漏洞關聯起來了。那個漏洞在9月更新的4.8.2版本的WordPress中就被修補了,但是這個修補卻讓很多網站被開發團隊攻破。而且,這個補丁發布后,Frerrara發現最新版本并沒有堵上這些漏洞。

WordPress 4.8.3 這次的更新有故事 站長們還請快快更新

WordPress安全團隊用了大概六周才將這個問題解決并發布了合適的補丁。研究者批評了WordPress安全團隊處理問題的速度,并表示曾計劃在沒有收到正式回應的情況下公開披露相關細節。

他們花了整整5周的時間,不得不讓人覺得他們是否真的是在修補漏洞。所以在那個時候,我開始威脅他們我要“公開漏洞”,逼迫他們去完整的解決問題(雖然他們在我做出公開威脅之前就已經開始通知進展)。
“安全報告應該“及時”處理,我們所說的及時處理是看到提交問題積極努力的去解決問題,而不是現在的這種應付問題,單純的應付問題并不能從根本上解決問題,那其實是沒有任何作用的。

WordPress發布的版本說明中指出本次更新修改了esc_sql()這個函數的功能。大多數的開發者不會被影響到。如果你想知道更多可以查看開發手記(https://make.wordpress.org/core/2017/10/31/changed-behaviour-of-esc_sql-in-wordpress-4-8-3/)

更新的文件列表:
wp-admin/about.php
wp-includes/post.php
wp-includes/wp-db.php
wp-includes/version.php
wp-content/plugins