Для Jetpack вышло критическое обновление безопасности

Сегодня вышла версия Jetpack 2.9.3. Это – критическое обновление безопасности, которое устраняет потенциально важную угрозу, присутствующую в Jetpack еще с версии 1.9, которая вышла аж в октябре 2012. Джордж Стэфанис описал уязвимость в следующем анонсе релиза:

«В ходе аудита внутренней безопасности мы нашли ошибку, которая позволяет атакующему обходить средства управления доступом к сайту и публиковать записи. Эта уязвимость может быть объединена с другими атаками, позволяющими получить доступ к сайту».

На данный момент у команды Jetpack нет доказательств, что уязвимость была использована на каких-либо сайтах с установленным плагином. Однако теперь, когда стало известно про эту уязвимость, необходимо принять срочные меры по обновлению плагина Jetpack до актуальной версии на всех своих сайтах (если такой плагин установлен на них).

warning

Чтобы дать общее представление о серьезности этого бага, Стэфанис отметил, что сайты, которые продолжат работать со старыми версиями плагина, будут в скором времени отключены от сервиса Jetpack во избежание угроз безопасности. Вот, что они сделали, чтобы как-то смягчить угрозы:

«Это достаточно вредный баг, а Jetpack – один из широко используемых плагинов в мире WordPress. Мы работали в тесном сотрудничестве с командой безопасности WordPress, которая поставила обновления для каждой версии плагина, начиная с 1.9, через систему автоматического обновления, встроенную в ядро. Мы также написали многим хостингам и сетевым провайдерам о том, что необходимо поставить временную блокировку всей сети, однако самый лучший способ – это установить обновление плагина».

Если у вас установлены автоматические фоновые обновления, то в таком случае вы, возможно, уже получили свежую версию Jetpack. Всем остальным будет предложено обновиться вручную.

Команда Jetpack подготовила доработанные версии всех 11 прошлых релизов, уязвимых перед данной угрозой. Люди из Jetpack планируют связаться со всеми администраторами сайтов, которые до сих пор используют старые версии плагина, чтобы убедить их немедленно обновиться. Если администратор так и не обновит плагин, то его сайт будет отключен от сервиса Jetpack.

Если у вас есть сайт с установленным Jetpack или ваш клиент использует этот плагин, то в таком случае вы должны будете принять оперативные меры по обновлению плагина, особенно если от него зависит функциональность вашего сайта.

Блог про WordPress
Комментарии: 3
  1. Галина

    Подскажите, а как обновить вручную?

    Просто загрузить новый плагин, а старый джетпак удалить?

    Спасибо!

    1. Дмитрий (автор)

      Да, либо обновить через админку.

  2. Макс

    Опа-опа, что-то я профукал этот момент.

Добавить комментарий

Получать новые комментарии по электронной почте.