Το WordPress force εγκαθιστά κρίσιμη ενημέρωση κώδικα Jetpack σε 5 εκατομμύρια ιστότοπους
Related Posts
Η Automattic, η εταιρεία πίσω από το σύστημα διαχείρισης περιεχομένου WordPress ανοιχτού κώδικα, έχει αρχίσει να εγκαθιστά αναγκαστικά μια ενημερωμένη έκδοση κώδικα ασφαλείας σε εκατομμύρια ιστότοπους σήμερα για να αντιμετωπίσει μια κρίσιμη ευπάθεια στην προσθήκη Jetpack WordPress.
Το Jetpack είναι ένα εξαιρετικά δημοφιλές πρόσθετο που παρέχει δωρεάν βελτιώσεις ασφάλειας, απόδοσης και διαχείρισης ιστότοπου, συμπεριλαμβανομένων των αντιγράφων ασφαλείας ιστότοπου, προστασίας από επιθέσεις ωμής βίας, ασφαλών συνδέσεων, σάρωσης κακόβουλου λογισμικού και πολλά άλλα.
Σύμφωνα με το επίσημο αποθετήριο πρόσθετων του WordPress, το πρόσθετο διατηρείται από την Automattic και έχει πλέον πάνω από 5 εκατομμύρια ενεργές εγκαταστάσεις.
“Κατά τη διάρκεια ενός εσωτερικού ελέγχου ασφαλείας, βρήκαμε ένα θέμα ευπάθειας με το API που είναι διαθέσιμο στο Jetpack από την έκδοση 2.0, που κυκλοφόρησε το 2012”, Jeremy Herve, μηχανικός σχέσεων προγραμματιστών Automatic
είπε
.
“Αυτή η ευπάθεια θα μπορούσε να χρησιμοποιηθεί από συντάκτες σε έναν ιστότοπο για να χειριστούν τυχόν αρχεία στην εγκατάσταση του WordPress.”
Το Jetpack 12.1.1, η ενημερωμένη έκδοση κώδικα ασφαλείας που αυτή τη στιγμή διατίθεται αυτόματα σε όλους τους ιστότοπους WordPress που χρησιμοποιούν την προσθήκη, άρχισε να κυκλοφορεί σήμερα και έχει ήδη εγκατασταθεί στο
περισσότερες από 4.130.000 τοποθεσίες
χρησιμοποιώντας κάθε έκδοση του Jetpack από την 2.0.
Στατιστικά στοιχεία εγκατάστασης JetPack (WordPress)
Αυτό σημαίνει ότι οι περισσότεροι ευάλωτοι ιστότοποι έχουν ήδη ενημερωθεί αυτόματα στην πιο πρόσφατη ασφαλή έκδοση, ενώ και οι υπόλοιποι σύντομα θα διορθωθούν επίσης.
Ο Herve προειδοποίησε επίσης τους διαχειριστές ιστότοπων ότι, ενώ δεν υπάρχουν ενδείξεις ότι το σφάλμα έχει γίνει κατάχρηση σε επιθέσεις, θα πρέπει να διασφαλίσουν ότι οι ιστότοποί τους είναι ασφαλείς, καθώς οι εισβολείς πιθανότατα θα εντοπίσουν τα στοιχεία του ελαττώματος και θα δημιουργήσουν εκμεταλλεύσεις που στοχεύουν μη επιδιορθωμένους ιστότοπους WordPress.
“Δεν έχουμε στοιχεία που να αποδεικνύουν ότι αυτή η ευπάθεια έχει χρησιμοποιηθεί στην άγρια φύση. Ωστόσο, τώρα που κυκλοφόρησε η ενημέρωση, είναι πιθανό κάποιος να προσπαθήσει να εκμεταλλευτεί αυτήν την ευπάθεια”, δήλωσε ο Herve.
“Ενημερώστε την έκδοση του Jetpack το συντομότερο δυνατό για να διασφαλίσετε την ασφάλεια του ιστότοπού σας. Για να σας βοηθήσουμε σε αυτήν τη διαδικασία, συνεργαστήκαμε στενά με την Ομάδα Ασφαλείας του WordPress.org για να κυκλοφορήσουμε επιδιορθωμένες εκδόσεις κάθε έκδοσης του Jetpack από την έκδοση 2.0. Οι περισσότερες οι ιστότοποι έχουν ενημερωθεί ή θα ενημερωθούν σύντομα αυτόματα σε μια ασφαλή έκδοση.”
Δεν είναι η πρώτη φορά που η Automattic χρησιμοποιεί αυτοματοποιημένη ανάπτυξη ενημερώσεων ασφαλείας για να επιδιορθώσει κρίσιμα ζητήματα σε πρόσθετα ή εγκαταστάσεις WordPress.
Για παράδειγμα, είπε ο προγραμματιστής του WordPress, Samuel Wood
τον Οκτώβριο του 2020
ότι η Automattic έχει χρησιμοποιήσει αυτήν την προσέγγιση για να προωθήσει “εκδόσεις ασφαλείας για πρόσθετα πολλές φορές” από τότε που κυκλοφόρησε το WordPress 3.7.
