דף הבית » חדשות ועדכונים

וורדפרס 3.9.2

7 באוגוסט 2014 | מאת רמי | 2 תגובות | תגיות: , , ,

שוחררה גרסה 3.9.2 של וורדפרס אשר מטפלת בפרצה המאפשרת לבצע התקפות מניעת שירות (DoS) דרך מנגנון עיבוד ה-XML של PHP. מדובר בשיתוף פעולה נדיר בין צוות האבטחה של וורדפרס לצוות האבטחה של דרופל על מנת לפתור סוגיית אבטחה המשותפת לשתי המערכות.

עדכון אבטחה בוורדפרס דרופל

עדכון אבטחה בוורדפרס דרופל

החור באבטחה התגלה על ידי חוקר אבטחה של חברת SalesForce.com. מדובר במנגנון ברמת PHP המאפשר לבצע התקפות DoS בעזרת מעבד ה-XML שסובל מחולשת אבטחה. החוקר התריע על הבעיה לצוותי האבטחה של וורדפרס ודרופל, ושתי מערכות ה-CMS הפופולריות שחררו במקביל עדכוני אבטחה קריטיים.

מאחורי הקלעים

מנגנון ה- XML-RPC של וורדפרס עושה שימוש במעבד ה-XML של PHP. אותו מעבד XML מכיל פרצה שיכולה לגרום לעליה בצריכת ה-CPU ובצריכת הזיכרון ל-100%, ואף לגרום ל-MySQL ולהגיע לכמות המקסימלית של התחברויות פתוחות ולהשבית את האתר.

כיבוי מנגנון XML-RPC לא בא בחשבון כיוון שהדבר ישאיר את משתמשי המובייל מחוץ למערכת. לכן הוחלט לטפל בבעיה עצמה. אך מכיוון שמדובר בספריה חיצונית (Incutio XML-RPC Library) שנמצאת בשימוש גם בוורדפרס וגם בדרופל, הוחלט לשלב ידיים בפתרון הבעיה. צוותי האבטחה של שתי המערכות שחררו טלאי המטפל במחלקת IXR וכך ניטרלו את הבעיה.

שדרוג

הבעיה נמצאת באתרים המשתמשים בוורדפרס 3.5 עד 3.9 ובדרופל 6.x עד 7.x – מדובר במיליוני אתרי אינטרנט מסביב לעולם. חשוב לציין שהחל מגרסה 3.7 קיים בוורדפרס מנגנון עדכונים אוטומטי. באתרים אלה המערכת תבצע שדרוג אוטומטי. בגרסאות ישנות יותר יש לבצע שדרוג ידני על ידי לחיצה על כפתור השדרוג בלוח הבקרה.

במקביל לשחרור גרסה 3.9.2 שמטפל בסוגיית האבטחה בענף 3.9, שוחררה גם גרסה 3.8.4 עבור ענף 3.8, וגרסה 3.7.4 עבור ענף 3.7.

מאת רמי

אחראי על אתר וורדפרס בעברית ועל תרגום ושחרור גרסאות וורדפרס בעברית. מפתח ליבה, בכל גרסה החל מגרסה 2.8, מפתח מוביל בגרסה 4.4 ובגרסה 4.6. מספק שירותי פיתוח אתרים, פיתוח תוספי וורדפרס לסטרטאפים ופיתוח כלים למפתחי וורדפרס - GenerateWP.com.

2 תגובות »

  • בנימין כותב :

    רק רציתי לדעת. זו פעם ראשונה שאני צריך לשדרג
    רק רציתי לדעת אם השידרוג לא יצור לי בעיות.. ז"א האם המשתמש הפשוט בוורדפרס ללא ידע בקודים יכול פשוט לשדרג וזה לא יצור לו בעיות.
    תודה

  • רמי כותב :

    בנימין, אם אתה לא מבין אז עדיף לא לשדרג לבד. וגם אם אתה מבין מה אתה עושה, יש לגבות מסדי נתונים וקבצים, למקרה שהשדרוג לא יצליח ויהיה צורך בשיחזור.

הוסף תגובה !

נא לא לשאול שאלות שלא קשורות לפוסט, זהו לא פורום תמיכה. לבעיות אישיות ונושאים מורכבים אפשר ליצור איתי קשר.

תגיות HTML מורשות לשימוש:
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>