Сегодня ночью сайтам на вордпресс прилетело очередное обновление безопасности. Те, кто предпочитают обновлять вручную, должны принять к сведению сей факт и поторопиться внести изменения на сайт.

Как и в предыдущий раз ( Обновление безопасности Wordpress 4.7.2 ), в этот раз релиз содержит кроме исправлений изъянов защиты также фиксинг различных багов.

Релиз безопасности Wordpress 4.7.3
Релиз безопасности Wordpress 4.7.3

Не так давно был анонсирован релиз безопасности Wordpress 4.7.1, посвященный по большинству уязвимости в PHPMailer, как на сервере обновления появилась очередная заплатка критических уязвимостей. Многим уже обновление пришло по воздуху, для тех, кто не любит автообновление, настоятельно рекомендуется применить правки вручную. В данном патче безопасности будет интересна одна SQL-уязвимость в WP_Query, при определенном подходе может вызвать массовые атаки на необновленные сайты.

Критическое обновление безопасности вордпресс 4.7.2
Критическое обновление безопасности вордпресс 4.7.2

Большинству пользователям блогов и сайтов на вордпрессе прилетело обновление по воздуху. Для тех, у кого отключено автоматическое обновление настоятельно советуется обновиться вручную. Wordpress 4.7.1 содержит исправление 61 бага и 8 обнаруженных уязвимостей. Поэтому данный релиз вордпресса можно назвать обновлением безопасности.

Обновление безопасности Wordpress 4.7.1
Обновление безопасности Wordpress 4.7.1

Несмотря на достаточно большое количество уязвимостей, я бы сказал они носят достаточно непосредственный характер и многим хакерам будут неинтересны. Рассмотрим более детально новые дыры в вордпресс:

  • Обновление библиотеки PHPMailer, исправляющее удаленное исполнение кода. Несмотря на заверение разработчиков, что вордпресса оно не касается, они решили лишний раз перестраховаться.
  • Раскрытие пользовательских данных для остальные через REST API
  • Межсайтовый скриптинг (XSS) через имя плагина или заголовок версии в update-core.php
  • Межсайтовая подделка запроса (CSRF) при загрузке Flash файла
  • Межсайтовый скриптинг (XSS) через название темы
  • Публикация через проверки email, если настройки по умолчанию не были изменены
  • Межсайтовая подделка запроса (CSRF) была обнаружена при получении в режиме совместимости редактирования виджета
  • Слабая криптографическая защита ключа активации для мультисайтов

Кроме этого были исправлены различные баги: Bootstrap, темы Twenty Seventeen, комментариев, кодировки, поделиться, медиа, HTTP API, кастомизация, REST API, обновление/установка и многие другие.

Обновляемся и остаемся в курсе последних событий безопасности!

Вслед за обнаруженной уязвимостью CVE-2016-10033 стало известно, что выпущенный патч не до конца закрывает дыру в известной библиотеке отправки писем. На данный момент разработчики еще не подготовили новую версию, надеемся в ближайшее время это будет исправлено. Поэтому в данный момент уязвимость носит характер 0day. Уязвимы все версии PHPMailer до 5.2.19 включительно.

Уязвимость CVE-2016-10045 удаленного исполнения кода в PHPMailer
Уязвимость CVE-2016-10045 удаленного исполнения кода в PHPMailer < 5.2.20

Новый год не за горами, а список уязвимостей пополнился ещё одной неприятной новостью: в популярной библиотеке PHPMailer была выявлена (спасибо Dawid Golunski) критическая уязвимость RCE, оно же Remote Code Execution или удаленное выполнение произвольного кода говоря русским языком. Дыра ставит многие сайты под удар на самых разных CMS или популярных фреймворках (yii). С учетом празднования рождественских или новогодних праздников, на оперативность выпуска обновлений надеяться не стоит. Уязвимы версии PHPMailer до 5.2.17 включительно.

Уязвимость CVE-2016-10033 в PHPMailer
Уязвимость CVE-2016-10033 в PHPMailer