24/4/2013
Jeśli korzystacie z pluginów WP Super Cache i W3TC natychmiast je zaktualizujcie, w przeciwnym razie umożliwiacie atakującemu wykonywanie dowolnego kodu PHP na swoim serwerze.
Dziura znana od miesiąca…
Luka odkryta w pluginach WP Super Cache i W3TC fachowo nazywa się RCE (Remote Code Execution). Odkrył ją i w szczegółach opisał już miesiąc temu użytkownik kisscsaby, ale dopiero od 5 dni dostępne są aktualizacje wtyczek.
Aby sprawdzić, czy atak jest możliwy na naszym serwerze, należy w komentarzach dodać następującą treść:
<!–mfunc echo PHP_VERSION; –><!–/mfunc–>
Jeśli komentarz jest przetwarzany przez podatną na atak wtyczkę, powinniśmy zobaczyć w jego treści wersję PHP zainstalowaną na serwerze (ale niestety każde inne polecenie PHP także zadziała…).
Obie wtyczki służą “przyśpieszeniu” WordPressa poprzez cache’owanie i korzysta z nich około 6 milionów stron internetowych. Aż dziw, że przez miesiąc, kiedy to opis błędu był publicznie dostępy i nie było na niego patcha żaden z botnetów nie wykorzystał tego błędu do ataków na masową skalę. Znając szybkość aktualizowania wtyczek przez użtkowników, pewnie ciągle wiele instalacji WordPressa jest podatnych na wstrzyknięcia…
via KKKas
5.3.24
Czy jak mamy moderowanie komentarzy włączone jesteśmy dalej podatni? W sensie takim, że jeśli atakujący nie ma możliwości wpisania o tak o jakiegoś komentarza na stronę i musi ten komentarz przejść najpierw przez moderację admina (który _powinien_ coś takiego wyłapać), to raczej ta luka nawet jak istnieje to nie jest krytyczna, tak?
Asmodiel moderacja to tylko ustalenie czy komentarz jest widoczny czy nie, a przetworzony i tak będzie
Miałem jakieś 3 tygodnie temu deface`a bloga na wordpressie, z tym, że komentarze były wyłączone…używam tej wtyczki, teraz jest już aktualna
Jeśli komentarze nie działały, to pewnie jakiś formularz kontaktowy , lub jakieś inne pole, przez które można coś “postnąć”
a kto w ogóle używa WP? a wy, hehehehehe
Widzę, że niektórzy już testują niebezpiecznika:D
a że tak spytam jaka wersja hyper cache jest najnowsza? obecnie mam wersje 2.9.1.2 i takową widzę w pluginach na stronie wordpressa
Jarek a co takiego złego widzisz w wordpresie ?? Podasz lepszą alternatywę? :)
PHP Version 5.2.17
System niebezpiecznik.pl Linux x86_64
Server API UltraCGI/1.0 for IdeaWebServer
Loaded Configuration File /usr/local/php/php.ini
PHP API 20041225
PHP Extension 20060613
Zend Extension 220060519
Zend Memory Manager enabled
IPv6 Support enabled
Registered PHP Streams https, ftps, compress.zlib, compress.bzip2, php, file, data, http, ftp, zip
Registered Stream Socket Transports tcp, udp, unix, udg, ssl, sslv3, sslv2, tls
Registered Stream Filters zlib.*, bzip2.*, convert.iconv.*, string.rot13, string.toupper, string.tolower, string.strip_tags, convert.*, consumed
This program makes use of the Zend Scripting Language Engine:
Zend Engine v2.2.0, Copyright (c) 1998-2010 Zend Technologies
with the ionCube PHP Loader v4.0.7, Copyright (c) 2002-2011, by ionCube Ltd.
Configuration
PHP CoreDirective Local Value Master Value
allow_call_time_pass_reference On On
Directive Local Value Master Value
allow_call_time_pass_reference On On
LOL_mode On On
allow_url_fopen On On
allow_url_include Off Off
always_populate_raw_post_data Off Off
arg_separator.input & &
;-)
Widzę że łatka nie do końca rozwiązuje problem, bo dalej wp jest podadny. wystarczy trochę zmodyfikować stringa http://www.youtube.com/watch?v=dQw4w9WgXcQ
Chyba Piotrowi głupio ze nie odpisuje :)
k6t gz :)
Chyba Pawwwel nie wyłapał trololo.
Czy WP kiedykolwiek będzie bezpieczne?
@Infero: Jutro! ;-D
To nie WP tylko wtyczka.
Od której wersji wtyczki, ten błąd się pojawia? Ponieważ, ja posiadam tą wtyczkę, ale dawno nie robiłem jej aktualizacji i ta podatność nie działa
Do wczoraj miałem “WP super cache” w wersji 1.2 i podatności na atak nie było. Cały tekst lądował w komentarzu, z tym że “coś” dodawało spacje przed wykrzyknikami. Wczoraj zaktualizowałem do 1.3.1 a dzisiaj jest już kolejna aktualizacja także związana z tagami mfunc, 1.3.2 – nic się nie zmieniło.
@Piotr Konieczny: LOL mode on. :D
BTW, interesuje Was dziura w myBB pozwalająca na eskalację uprawnień, czy olewacie ten CMS z uwagi na małą popularność? :p
Czy nmap lub OWASP Zap ma mozliwosc scanu strony z wyborem “sprawdz wersje/wtyczke” ?
gdzieś czytałem, że wordpress to php shell, ale ma też wtyczki do blogowania.
Dzięki za informacje, może napisz to twórców i podsuń im rozwiązanie problemu ;)