Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Возможность подстановки SQL-кода в популярном дополнении к W..."	+/–
Сообщение от opennews (??), 01-Мрт-17, 21:14
В NextGEN Gallery (https://wordpress.org/plugins/nextgen-gallery/), дополнении к системе управления web-контентом WordPress, насчитывающем более 16 млн загрузок и более миллиона установок, выявлена (https://blog.sucuri.net/2017/02/sql-injection-vulnerability-... критическая узвимость, позволяющая неаутентифицированному посетителю выполнить SQL-запрос и получить доступ к содержимому базы данных, в том числе к хэшам паролей пользователей WordPress. Проблема проявляется только если в дополнении активирована функции отображения облака тегов или разрешено размещение материалов для публикации после рецензирования. Уязвимость вызвана некорректной проверкой параметров запроса (например, "http://target.url/2017/01/17/new-one/nggallery/tags/test... что приводит к включению в SQL-запрос полученных от пользователя данных, без их корректной чистки.  Уязвимость молча устранена в версии NextGEN Gallery 2.1.79 без отражения информации об исправлении критической уязвимости в списке изменений (https://wordpress.org/plugins/nextgen-gallery/changelog/). URL: https://blog.sucuri.net/2017/02/sql-injection-vulnerability-... Новость: http://www.opennet.dev/opennews/art.shtml?num=46120
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от Аноним (-), 01-Мрт-17, 21:14	+14 +/–
Замечательно. В списке изменений безобидное "Changed: Tag display adjustment", а на деле "Security Risk: Critical; Exploitation Level: Easy/Remote; DREAD Score: 9; Vulnerability: SQL Injection".
Ответить | Правка | Наверх | Cообщить модератору

2. Сообщение от Аноним (-), 01-Мрт-17, 22:13	–3 +/–
Мда, пока есть школьники, то и пользователи будут. Не понимаю как такое сито можно вообще советовать в качестве движка для блога, не говоря уже о всяких магазинах. Очевидно, что только школо-ло будет советовать своим одноклассникам. В здравом уме люди будут юзать что-то другое.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #3, #5

3. Сообщение от Аноним (-), 01-Мрт-17, 22:41	+/–
Например? Какие альтернативы?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #4, #14, #15, #24

4. Сообщение от НяшМяш (ok), 01-Мрт-17, 23:10	–5 +/–
Зачем вообще для блога движок? Можно всё лепить в статике без бекенда - какой-нибудь markdown шаблонизатор, а если нужны комментарии - можно disqus подключить.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #16

5. Сообщение от Sabakwaka (ok), 01-Мрт-17, 23:24	–1 +/–
>> школо-ло... https://www.nytimes.com/  — на wordpress'е и без проблем. И еще нацать пять тыщ сайтов. И все без проблем.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #6, #11, #21, #29

6. Сообщение от redwolf (ok), 01-Мрт-17, 23:45	+5 +/–
Что-то мне подсказывает, что от WordPress они юзают только сам движок. Всё остальное написано нормальными программистами, а не теми, которые в маркет WP-плагинов плодят миллиардный вариант галереи с дыркой в безопасности.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #7, #8, #10

7. Сообщение от Sabakwaka (ok), 02-Мрт-17, 00:08	–2 +/–
> Что-то мне подсказывает, что от WordPress они юзают только сам движок. Естественно. WordPress — отличное хранилище статей, таксономии, связей и проч. Да еще и с плагин-интерфейсом. Морда забирает данные по REST. CDN встроен. Причем все есть в WordPress'е из коробки. Бери, да пили.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6

8. Сообщение от пох (?), 02-Мрт-17, 00:41	+4 +/–
> Что-то мне подсказывает, что от WordPress они юзают только сам движок. что-то мне подсказывает, что нет. > Всё остальное написано нормальными программистами нормальным программистам нет никакой проблемы написать движок уровня "взять из базы тексты, показать юзеру" (равно как "взять из более-менее wysiwyg морды текст с картинками и запхать в базу") под специализированную задачу конкретного сайта. А вот когда "нормальный" уеб-дизайнер требует от них "виджет как у xxx, но в другой рамочке, и чтобы _я_ мог его визифиг по шаблону страницы двигать" по сто раз в день - ничего не остается, как тупо взять этот виджет вместе со всем прилагаемым к нему wp-плагином - и еще сто штук. Потом это все обвешивается контейнерами, прослойками, dpi+файрволлом+балансером, заодно фильтрующими явно нехорошие запросы, в самом конце, возможно, вообще ставится mod_security с ручным тюнингом - в общем, помимо программистов, зарплату получают три админа на все руки и два безопасника, плюс пять дежурной смены. А потом это все все равно дефейсят, потому что редактор ковырялся с материалом из кафешки, не заметив камеру наблюдения за спиной.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6

10. Сообщение от Алексей (??), 02-Мрт-17, 05:53	–1 +/–
>Всё остальное написано нормальными программистами необязательно, просто если написано что-то свое уже взломать в разы сложнее, а если еще поменять стандартные пути на свои, то уже только ручной рутиной можно под конкретный сайт...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6

11. Сообщение от Аноним (-), 02-Мрт-17, 07:27	+/–
Нет там никакого WordPress. Сам проверь. curl https://www.nytimes.com/ | grep wp
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

14. Сообщение от GG (ok), 02-Мрт-17, 08:19	+/–
Однажды меня это окончательно достало и я начал пилить свой велосипед на питоне
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

15. Сообщение от Аноним (-), 02-Мрт-17, 09:42	+/–
OctoberCMS
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

16. Сообщение от Ordu (ok), 02-Мрт-17, 09:49	+/–
У меня, например, disqus не работает по причине того, что анальный зонд. Мне не нравится идея централизованного хранилища моих графоманских комментариев, которая сможет всю эту графоманию на разнообразных сайтах увязать с одной личностью. И избавиться от этого не удастся путём креативного заполнения профилей на этих разных сайтах: необходимость выполнения жабаскрипта с этого самого disqus сводит на нет все подобные потуги. Ты б ещё предложил бы в социалочках комментарии из блога хранить. А движок позволяет всё сделать, прикладывая не больше усилий чем с disqus'ом, не размазывая при этом информацию пользователей по всему интернету. И усилий на это потребуется не больше. Просто не надо делать на вордпрессе.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

17. Сообщение от gogo (?), 02-Мрт-17, 10:13	+1 +/–
Поражает сpач в комментах насчет дополнений... Никто никого не заставляет их устанавливать! А если устанавливаете, то думайте бошкой, а не задoм. Или хоть как-нибудь, но думайте. В описании плагинов отлично видно, кто написал, когда обновлялся плагин и т.д. Плюс сейчас автообновление у ВП есть - большинство дыр фиксится задолго до того, как злых ботов на волю выпустят.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #19

18. Сообщение от Gemorroj (ok), 02-Мрт-17, 11:00	–1 +/–
капец, в какой-то там дополнении к вп sql-injection. и чо??? там еще 100500 дополнений и в них 100500*n sql-injection-ов, что с того-то.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #20

19. Сообщение от A.Stahl (ok), 02-Мрт-17, 11:23	–1 +/–
>В описании плагинов отлично видно, кто написал, когда обновлялся плагин и т.д. Охренеть какая полезная информация. Ну и какой аддон лучше, написанный A. van Noord или K.Kristensen? Или обновлённый 12 января хуже обновлённого 4 февраля?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17 Ответы: #23

20. Сообщение от Аноним (-), 02-Мрт-17, 11:30	+/–
> капец, в какой-то там дополнении к вп sql-injection. и чо??? там еще > 100500 дополнений и в них 100500*n sql-injection-ов, что с того-то. Это одно из самых популярных дополнений, у него установок как у всех остальных CMS вместе взятых. С сайта дополнения - "The most popular WordPress gallery plugin and one of the most popular plugins of all time with over 16.5 million downloads."
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18

21. Сообщение от Аноним (-), 02-Мрт-17, 14:40	+/–
> https://www.nytimes.com/  — на wordpress'е и без проблем. > > И еще нацать пять тыщ сайтов. > И все без проблем. Брехня, там Scoop CMS.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

23. Сообщение от gogo (?), 02-Мрт-17, 15:59	–2 +/–
Вот, отличный пример человека, который не хочет думать и гордится этим. Мне стоит разжевывать, что если плагин имеет версию 1.0.0 и обновлялся три года назад, то это - подозрительный плагин? Как ты вообще хочешь? Чтобы было большими буквами написано "хороший" или "плохой" плагин? Если есть дельное предложение - напиши девелоперам ВП, они воспримут с радостью. На текущий момент они сделали как смогли, постарались выдать максимум информации о плагине. Если не можешь выбрать - не скули, чтобы кто-то выбрал за тебя. За таким - в эпл.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19 Ответы: #25, #28

24. Сообщение от sorrymak (ok), 02-Мрт-17, 16:10	+/–
Pelican, Jekyll, Hugo.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

25. Сообщение от A.Stahl (ok), 02-Мрт-17, 18:24	–1 +/–
>Мне стоит разжевывать, что если плагин имеет версию 1.0.0 и обновлялся три года назад, то это - подозрительный плагин? Не подавись только. А если плагин имеет версию 1.2.3 и обновлялся 3 года назад, то он лучше плагина версии 2.3.4, который обновлялся 2 года назад? Или наоборот? Большая версия говорит о востребованности плагина и его бурном развитии или о криворукости автора, которому часто приходится что-то исправлять? Год апдейта говорит о заброшенности или о законченности? Я знаю лишь то, что ты говоришь чушь.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23 Ответы: #26

26. Сообщение от gogo (?), 02-Мрт-17, 18:57	–1 +/–
Да я уже понял, что ты настолько умный, что тебе думать не нужно. Не напрягайся. Активность разработчика - это главное для любого проекта. В open source это гарантия, что найденная третьим лицом ошибка будет исправлена быстро. Именно так здесь все устроено. И это работает, как тебе не покажется странным, в пылу твоего юношеского максимализма.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25 Ответы: #30

28. Сообщение от redwolf (ok), 03-Мрт-17, 00:22	+4 +/–
Я вот хочу, чтобы было хотя бы вот так: https://www.drupal.org/security-advisory-policy
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23

29. Сообщение от Michael Shigorin (ok), 03-Мрт-17, 11:41	+/–
> https://www.nytimes.com/  — на wordpress'е и без проблем. У этих проблемы в ДНК, если что.  "И не лечатся" (ц). > И все без проблем. Плавали, знаем -- #потерьнет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

30. Сообщение от Michael Shigorin (ok), 03-Мрт-17, 11:45	+/–
> Да я уже понял, что ты настолько умный, что тебе думать не нужно. Не напрягайся. А он ведь по существу.  В той же TYPO3, например, TER давно обучили рассказывать про расширения, по которым известны проблемы.  И состояние там не надо угадывать по версии и последней сборке -- может, сделано пять лет тому и на века (как минимум до ближайшего изменения API), а может, позавчера, но вчера уже нашли, эээ, "технологическое отверстие".  В смысле есть человекочитаемый статус от "Experimental" до уж не помню, что там за rock stable.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема