ترمیم آسیب‌پذیری روز صفر

وردپرس چهار آسیب‌پذیری مهم را وصله کرد

16/11/1395 - 03:20
امنیت
وردپرس چهار آسیب‌پذیری مهم را وصله کرد
توسعه‌دهندگان وردپرس روز پنج‌شنبه نسخه 4.7.2 این سامانه مدیریت محتوا را منتشر کردند. این نسخه در حالی منتشر شد که سه آسیب‌پذیری مهم در آن ترمیم شده است. اما این تمام ماجرا نیست. توسعه‌دهندگان این سامانه مدیریت محتوا در سکوت کامل خبری یک آسیب‌پذیری روز صفر را نیز ترمیم کرده‌اند.

اولین آسیب‌پذیری در ارتباط با تزریق کد SQL بود که در کلاس wp-query وجود داشت. این کلاس با هدف مدیریت بر پیچیدگی‌های ارسال یک پست روی یک وبلاگ مورد استفاده قرار می‌گیرد. اولین بار طراحی به نام محمد چنگوا آسیب‌پذیری فوق را گزارش کرد. این طراح متوجه شد زمانی که داده‌های غیرایمن به عنوان ورودی برای این کلاس ارسال شود، این فرصت به وجود می‌آید که از اکسپلویت فوق بهره برد. در حالی که هسته وردپرس به این آسیب‌پذیری آلوده نیست اما یکسری تغییرات برای پیشگیری از بروز مشکلات احتمالی در هسته وردپرس و افزونه‌ها اعمال شده است.

مطلب پیشنهادی

راه‌اندازی وردپرس در کنار Nginx
یرای بهره‌مندی از مزایای هر دو آن‌ها

راه‌اندازی وردپرس در کنار Nginx

آسیب‌پذیری دوم که در نسخه 4.7.2 ترمیم شده است در ارتباط با حمله XSS است. این آسیب‌پذیری را ایان دان یکی از اعضا تیم امنیتی وردپرس شناسایی کرده بود.

دیوید هررا پژوهشگر امنیتی شرکت Alley Interactive هم موفق شد آسیب‌پذیری کنترل دسترسی را شناسایی کند.

توسعه‌دهندگان وردپرس اعلام کرده‌اند هیچ‌یک از آسیب‌پذیری‌های فوق بحرانی نبوده‌اند، اما توصیه نامه‌ای که از سوی US-CERT منتشر شده اعلام می‌دارد که یک هکر از راه دور می‌تواند از این آسیب‌پذیری‌ها استفاده کرده و کنترل یک سایت آلوده را به دست بگیرید. نسخه 4.7.2 کمتر از دو هفته پس از انتشار نسخه 4.7.1 منتشر شده است. در نسخه جدید 62 باگ معمولی و هشت باگ امنیتی برطرف شده است. باگ‌های امنیتی که توسعه‌دهندگان وردپرس آن‌ها را برطرف کرده‌اند باعث افشای اطلاعات کاربران، اجرای از راه دور کدها، پیاده‌سازی حملات XSS و خراب شدن الگوهای رمزنگاری می‌شدند.

مطلب پیشنهادی

۵ افزونه برتر امنیتی وردپرس
افزونه‌های ایمن‌ساز

۵ افزونه برتر امنیتی وردپرس

اما آسیب‌پذیری خطرناک چهارم در سکوت کامل خبری وصله شد. این آسیب‌پذیری به یک هکر اجازه می‌داد تا صفحات متعلق به سایت‌های وردپرس را ویرایش کرده یا آن‌ها را حذف کند. توسعه‌دهندگان وردپرس گفته‌اند: «ما به دنبال پنهان‌کاری نبودیم. بلکه به دنبال آن بودیم تا هکرها را از سرویس‌های خود دور نگه داشته و از کاربران خود محافظت کنیم.» آسیب‌پذیری تخصیص مجوز از راه دور و تزریق محتوا در نسخه‌های 4.7 و 4.7.1 وردپرس وجود داشت و به هکرها اجازه می‌داد سایت‌های وصله نشده را به گونه‌ای ویرایش کنند تا بازدیدکنندگان را به سمت سایت‌های مخرب هدایت کنند. این کار به هکرها اجازه می‌داد تا کاربرانی که به سمت سایت‌های مخرب هدایت شده‌اند را در معرض حملات دیگری قرار دهند. اولین بار Sucuri از وجود این آسیب‌پذیری خبر داد. اما این‌کار را بعد از آن انجام داد که وردپرس وصله مربوطه را ارائه کرده بود. توسعه‌دهندگان وردپرس در این ارتباط گفته‌اند: «روز دوشنبه در شرایطی که در حال آزمایش و بررسی وصله‌ها بودیم، روی میزبان‌های وردپرس نیز متمرکز شدیم. ما به طور خصوصی به میزبان‌های فوق اعلام کردیم که چنین آسیب‌پذیری‌هایی وجود دارند و در ادامه راه‌حل‌های مربوطه را در اختیار آن‌ها قرار دادیم. میزبان‌ها به سرعت با تیم امنیتی ما تماس گرفتند و مواردی که ممکن بود منجر به بهره‌برداری از این آسیب‌پذیری‌ها شود را برطرف کردند.»

ماهنامه شبکه را از کجا تهیه کنیم؟
ماهنامه شبکه را می‌توانید از کتابخانه‌های عمومی سراسر کشور و نیز از دکه‌های روزنامه‌فروشی تهیه نمائید.

ثبت اشتراک نسخه کاغذی ماهنامه شبکه     
ثبت اشتراک نسخه آنلاین

 

کتاب الکترونیک +Network راهنمای شبکه‌ها

  • برای دانلود تنها کتاب کامل ترجمه فارسی +Network  اینجا  کلیک کنید.

کتاب الکترونیک دوره مقدماتی آموزش پایتون

  • اگر قصد یادگیری برنامه‌نویسی را دارید ولی هیچ پیش‌زمینه‌ای ندارید اینجا کلیک کنید.

مطالب مرتبط

برچسب: 
وردپرس - سامانه مدیریت محتوا - آسیب پذیری - هک - روز صفر - رخنه - امنیت
به اشتراک گذاری مطلب: 
Telegram Twitter Print HTML

ایسوس

نظر شما چیست؟