Allvarligt säkerhetshål i WordPress

Allvarligt säkerhetshål i WordPress

WordPress har upptäckt ännu ett alllvarlig säkerhetshål som kan utnyttjas med en XSS attack och därför har man lagt ut en säkerhetspatch som inte bara ska täppa till läckan, utan också göra en så kallad hardening mot XSS vid användandet av dev visuella editorn.

Detta är den andra säkerhetspatchen på kort tid från WordPress och den senaste säkerhetspatchen så är det två säkerhetsbrister som fixas tillsammans med 13 bugfixar. Om du av någon anledning INTE uppdaterat din installation med de senaste säkerhetspatcharna så rekommenderar jag att du gör det omedelbart.  WordPress kommer att försöka uppdatera helt automatiskt, om du inte stängt av den funktionaliteten i WordPress. Har du gjort det så ladda ner senaste versionen nedan eller gå in i WordPress och sök efter nya uppdateringar.

Ladda ner Svenska WordPress 4.2.2 

Ladda ner Officiella WordPress 4.2.2 


 

WordPress 4.2.2 is now available. This is a critical security release for all previous versions and we strongly encourage you to update your sites immediately.

Version 4.2.2 addresses two security issues:

  • The Genericons icon font package, which is used in a number of popular themes and plugins, contained an HTML file vulnerable to a cross-site scripting attack. All affected themes and plugins hosted on WordPress.org (including the Twenty Fifteen default theme) have been updated today by the WordPress security team to address this issue by removing this nonessential file. To help protect other Genericons usage, WordPress 4.2.2 proactively scans the wp-content directory for this HTML file and removes it. Reported by Robert Abela of Netsparker.
  • WordPress versions 4.2 and earlier are affected by a critical cross-site scripting vulnerability, which could enable anonymous users to compromise a site. WordPress 4.2.2 includes a comprehensive fix for this issue. Reported separately by Rice Adu and Tong Shi.

The release also includes hardening for a potential cross-site scripting vulnerability when using the visual editor. This issue was reported by Mahadev Subedi.

Our thanks to those who have practiced responsible disclosure of security issues.

WordPress 4.2.2 also contains fixes for 13 bugs from 4.2. For more information, see the release notes or consult the list of changes.

Download WordPress 4.2.2 or venture over to Dashboard → Updates and simply click “Update Now.” Sites that support automatic background updates are already beginning to update to WordPress 4.2.2.

Thanks to everyone who contributed to 4.2.2:

Aaron Jorbin, Andrew Ozz, Andrew Nacin, Boone Gorges, Dion Hulse, Ella Iseulde Van Dorpe, Gary Pendergast, Hinaloe, Jeremy Felt, John James Jacoby, Konstantin Kovshenin, Mike Adams, Nikolay Bachiyski, taka2, and willstedt.

Källa: WordPress.org.

 

  • olleperson66

    Trist att WordPress har problem med säkerheten i jämförelse med andra öppna källkods publiseringssystem som Joomla och Drupal, Typo3 t ex. Men det är väl för att det startade som en blogg och inte varit anpassat för större krav på t ex säkerhet, e-commerce och fler användare i intranät och företag.

    • Nu tror jag inte att vi ska dra med Joomla som lider av minst lika många säkerhetsbrister som WordPress, men jag tror du glömmer bort att samtliga plattformar du nämner har haft liknande problem. Joomla är fortfarande min favorit när det gäller säkerhetsbrister, men det var några år sedan de hade sina stora dagar med tusentals hackade installationer (mest genom plugins precis som WordPress). Drupal och Typo3 är på en lite annan nivå än Joomla och WordPress genom att det är mer enterprise tänk och därmed högre krav.

      WordPress är utan tvekan det största systemet och därmed också det system som får mest uppmärksamhet vid säkerhetsbrister. Det är också det system som är enklast att använda och därmed också det som får störst användarbas med olika kompetens. Därav så många osäkra installationer därute på grund av handhavande fel.

  • olleperson66

    Trist att WordPress har problem med säkerheten i jämförelse med andra öppna källkods publiseringssystem som Joomla och Drupal, Typo3 t ex. Men det är väl för att det startade som en blogg och inte varit anpassat för större krav på t ex säkerhet, e-commerce och fler användare i intranät och företag.

    • Nu tror jag inte att vi ska dra med Joomla som lider av minst lika många säkerhetsbrister som WordPress, men jag tror du glömmer bort att samtliga plattformar du nämner har haft liknande problem. Joomla är fortfarande min favorit när det gäller säkerhetsbrister, men det var några år sedan de hade sina stora dagar med tusentals hackade installationer (mest genom plugins precis som WordPress). Drupal och Typo3 är på en lite annan nivå än Joomla och WordPress genom att det är mer enterprise tänk och därmed högre krav.

      WordPress är utan tvekan det största systemet och därmed också det system som får mest uppmärksamhet vid säkerhetsbrister. Det är också det system som är enklast att använda och därmed också det som får störst användarbas med olika kompetens. Därav så många osäkra installationer därute på grund av handhavande fel.

  • olleperson66

    This is the latest weekly report that I received from IEAN (Intelligent Exploit):

    IEAN Exploit Alert summary for last week

    Joomla: 0
    Wordpress: 25
    phpBB: 1
    Drupal: 0
    TYPO3: 0
    Magento: 0
    Virtuemart: 0
    OsCommerce: 0
    Windows: 0
    MacOS: 1
    Other: 42

    More details on http://www.intelligentexploit.com

    • olleperson66

      ”Joomla som lider av minst lika många säkerhetsbrister som WordPress” Du skriver att du tror och det gör man i kyrkan. Titta på statistiken istället och jämför den så får du fakta. Du har ingen statistik eller grund för dina uttlanden. Det som hänt i Sverige i tidig Joomla ålder var att det var ett skitföretag som hostade ett gängs grabbar som inte kunde sätta upp Joomla korrekt och hela sekten av andra CMS type WordPress o Drupal uttnyttjade situationen och spred falska rykten i Sverige. Så Joomla är en av de absolut säkraste CMS som finns.

      ”…de hade sina stora dagar med tusentals hackade installationer (mest genom plugins precis som WordPress).”

      Joomla har en annan arkitektur som bl a bygger på MVC och tillåter inte de problem som t ex WordPress plugins tillåter i sin programmeringsstruktur. Om man inte förstår skillnaden på arkitekturerna i WordPress, Joomla och Drupal så blir det mest ett ”tyckande” grundat på kommersiella intressen –> WordPress, Drupal och där Joomla inte har någon anledning att kasta skit på andra som man själv blir utsatt för efter som man inte är privatägt utan ägs av sin community.

      ”Det är också det system som är enklast att använda och därmed också det som får störst användarbas med olika kompetens.”

      Det här är också en parodi då det kan handla om att det är enklast att använda för bloggare som vants sig med systemet men så fort du får lite större krav än en blogg så blir situationen helt annan.

      • Som du ser ovan Olle så skrev jag:

        Joomla är fortfarande min favorit när det gäller säkerhetsbrister, men det var några år sedan de hade sina stora dagar med tusentals hackade installationer (mest genom plugins precis som WordPress).

         

        Så det är precis som du säger att Joomla skärpt till sig ordentligt på sista tiden. Jag har ett antal bloggposter med referenser till Joomla plugins som fortfarande, många år senare, attraherar bottar som försöker med injections. Så bara för att arkitekturen är annorlunda tar inte bort problematiken för Joomla då det fortfarande går att lägga upp filer med infektera kod eller köra injections.

        Att wordpress har ett enklare UI och bättre UX än de mer avancerade Joomla och Drupal får du gärna motivera till varför du anser att det skulle vara fel. Det låter som att det är din egna uppfattning, vilket du poängterade (helt korrekt) att jag låter mina åsikter färga mina åsikter. Jag kan WordPress, du kan uppenbarligen Joomla. Självfallet färgas våra uppfattningar av vår kunskapsnivå, men det behöver inte vara av ondo.

        Som Joomla användare så har du en toppenposition att omvända mig för jag är öppen för alla system. Jag har bara inte haft någon bra upplevelse av Joomla tidigare, men jag är villig att ge det en ny chans om du kan övertyga mig om att Joomla är så bra som du säger.