Envato Elements - pobierasz co chcesz, ile chcesz

Już miałem zamykać, wszystkich w redakcji puścić do domu, by mogli ten wieczór spędzić z rodzinami, a tu niespodzianka – na liście ostrzeżeń pojawiła się informacja o nowej podatności na WordPressa. Na szczęście relatywnie niegroźnej, bo nie ma tu raczej mowy o jakimś włamaniu, czy wykradaniu danych. Po prostu, gdy komuś podpadliście, to może on spróbować troszkę poddusić Wasz serwer, aż jedyne co będzie można wyświetlić w przeglądarce, to błędy dostępności serwera/strony (5xx, np. 502, 503, 504 czy 522 od CloudFlare).

Atak DoS na WordPressa (CVE-2018-6389)

Kilka dni temu gdzieś w moich RSSech śmignął artykuł o tym, że aktualizacja WordPressa do wersji 4.9.3 będzie jednak dopiero za kilka dni, bo pojawiły się problemy z licencją jednej z bibliotek odpowiedzialnych za nowy edytor kodu wbudowany w WordPressa. Może to i dobrze, bo dzięki temu od razu załatają podatność, o której informuje m.in. na swojej stronie Barak Tawily. Tam też odsyłam po bardziej szczegółowe informacje…

Tak jak napisałem w pierwszym akapicie – szczęście w nieszczęściu nie mamy tu do czynienia z jakimś przełamaniem zabezpieczeń, a pewnym błędem, który może zostać wykorzystany do przeprowadzenia ataku DoS (Denial-of-Service, czyli odmowa dostępu) na naszą stronę, przez co ta może przestać być dostępna. Oczywiście taki atak można przeprowadzić prawie zawsze, i prawie na każdej stronie, i czasem jest łatwiej, a czasem trudniej.

Barak tym razem wziął „na warsztat” plik „script-loader.php”, który odpowiada za wczytywanie wykorzystywanych przez WordPressa skryptów w taki sposób, by były przesyłane do przeglądarki w ramach jednego żądania, co odbywa się poprzez wczytanie wszystkich wymaganych skryptów (JavaScript) i przesłanie ich w formie jednego „pliku”. Ma to oczywiście jak najbardziej sens, tyle tylko, że taka operacja – generowanie jednego pliku – może pochłonąć trochę zasobów, zwłaszcza, gdy czyjaś „przeglądarka” zażąda wszystkie możliwe pliki, a do tego wielokrotnie w krótkim czasie. Zwłaszcza, że można to zrobić bez uwierzytelnienia, a więc właściwie dowolna osoba na dowolnej stronie. Wtedy mogą się zacząć problemy – dla serwera z wydajnością, i ewentualnie dla „dowcipnisia” z prawem… ;-)

Jakby ktoś z Was obawiał się, że jakiś dowcipniś może „zapolować” na jego WordPressa, to jest przygotowana już poprawka, choć na razie jest to poprawka nieoficjalna.

(!) Zgłoś błąd na stronie
Potrzebujesz profesjonalnej pomocy? Skontaktuj się z nami!
Spodobał Ci się artykuł? Zapisz się do naszego Newslettera - ZERO SPAMu, same konkrety, oraz dostęp do dodatkowych materiałów przeznaczonych dla subskrybentów!
Na podany adres e-mail otrzymasz od nas wiadomość e-mail, w której znajdziesz link do potwierdzenia subskrypcji naszego Newslettera. Dzięki temu mamy pewność, że nikt nie dodał Twojego adresu przez przypadek. Jeśli wiadomość nie przyjdzie w ciągu najbliższej godziny (zazwyczaj jest to maksymalnie kilka minut) sprawdź folder SPAM.
Janusz i Janusz zapisali się do Newslettera WebInsider.pl i... sobie chwalą
WebInsider poleca księgowość wFirma
WebInsider korzysta z VPSa w HitMe.pl
WebInsider poleca VPSy DigitalOcean
WebInsider poleca serwis Vindicat
Napisz komentarz
wipl_napisz-komentarz_01Jeśli informacje zawarte na tej stronie okazały się pomocne, możesz nam podziękować zostawiając poniżej swój komentarz.

W tej formie możesz również zadać dodatkowe pytania dotyczące wpisu, na które – w miarę możliwości – spróbujemy Ci odpowiedzieć.
Linki partnerskie
Niektóre z linków na tej stronie to tzw. „linki partnerskie”, co oznacza, że jeśli klikniesz na link i dokonasz wymaganej akcji (np. zakup/rejestracja) możemy otrzymać za to prowizję. Pamiętaj, że polecamy tylko te produkty i usługi, z których sami korzystamy, i uważamy, że są tego na prawdę warte… :-)
Znaki towarowe i nazwy marek
W niektórych wpisach (oraz innych miejscach na stronie) mogą być przedstawione/użyte znaki towarowe i/lub nazwy marek, które stanowią własność intelektualną tych podmiotów, a zostały użyte wyłącznie w celach informacyjnych.
Janusz i Janusz zapisali się do Newslettera WebInsider.pl i... sobie chwalą