Большинству пользователям блогов и сайтов на вордпрессе прилетело обновление по воздуху. Для тех, у кого отключено автоматическое обновление настоятельно советуется обновиться вручную. Wordpress 4.7.1 содержит исправление 61 бага и 8 обнаруженных уязвимостей. Поэтому данный релиз вордпресса можно назвать обновлением безопасности.

Обновление безопасности Wordpress 4.7.1
Обновление безопасности Wordpress 4.7.1

Несмотря на достаточно большое количество уязвимостей, я бы сказал они носят достаточно непосредственный характер и многим хакерам будут неинтересны. Рассмотрим более детально новые дыры в вордпресс:

  • Обновление библиотеки PHPMailer, исправляющее удаленное исполнение кода. Несмотря на заверение разработчиков, что вордпресса оно не касается, они решили лишний раз перестраховаться.
  • Раскрытие пользовательских данных для остальные через REST API
  • Межсайтовый скриптинг (XSS) через имя плагина или заголовок версии в update-core.php
  • Межсайтовая подделка запроса (CSRF) при загрузке Flash файла
  • Межсайтовый скриптинг (XSS) через название темы
  • Публикация через проверки email, если настройки по умолчанию не были изменены
  • Межсайтовая подделка запроса (CSRF) была обнаружена при получении в режиме совместимости редактирования виджета
  • Слабая криптографическая защита ключа активации для мультисайтов

Кроме этого были исправлены различные баги: Bootstrap, темы Twenty Seventeen, комментариев, кодировки, поделиться, медиа, HTTP API, кастомизация, REST API, обновление/установка и многие другие.

Обновляемся и остаемся в курсе последних событий безопасности!

Вслед за обнаруженной уязвимостью CVE-2016-10033 стало известно, что выпущенный патч не до конца закрывает дыру в известной библиотеке отправки писем. На данный момент разработчики еще не подготовили новую версию, надеемся в ближайшее время это будет исправлено. Поэтому в данный момент уязвимость носит характер 0day. Уязвимы все версии PHPMailer до 5.2.19 включительно.

Уязвимость CVE-2016-10045 удаленного исполнения кода в PHPMailer
Уязвимость CVE-2016-10045 удаленного исполнения кода в PHPMailer < 5.2.20

Новый год не за горами, а список уязвимостей пополнился ещё одной неприятной новостью: в популярной библиотеке PHPMailer была выявлена (спасибо Dawid Golunski) критическая уязвимость RCE, оно же Remote Code Execution или удаленное выполнение произвольного кода говоря русским языком. Дыра ставит многие сайты под удар на самых разных CMS или популярных фреймворках (yii). С учетом празднования рождественских или новогодних праздников, на оперативность выпуска обновлений надеяться не стоит. Уязвимы версии PHPMailer до 5.2.17 включительно.

Уязвимость CVE-2016-10033 в PHPMailer
Уязвимость CVE-2016-10033 в PHPMailer

Стала доступна для скачивания новая версия джумлы 3.6.5

Новая версия закрывает 3 обнаруженных уязвимости, исправляет 3 бага и направлена на усиление защиты пользовательских групп.

Релиз безопасности Joomla 3.6.5
Релиз безопасности Joomla 3.6.5

Пришло время для обновления сайтов на джумле. Небольшой релиз Joomla 3.6.4 не включает в себя каких-либо изменений функционала, а направлен на исправление двух критических уязвимостей. Настоятельно рекомендуется как можно скорее применить обновление, с учетом того, что угрозы классифицированы как высокоопасные.

Обновление безопасности Joomla 3.6.4
Обновление безопасности Joomla 3.6.4