Już miałem zamykać, wszystkich w redakcji puścić do domu, by mogli ten wieczór spędzić z rodzinami, a tu niespodzianka – na liście ostrzeżeń pojawiła się informacja o nowej podatności na WordPressa. Na szczęście relatywnie niegroźnej, bo nie ma tu raczej mowy o jakimś włamaniu, czy wykradaniu danych. Po prostu, gdy komuś podpadliście, to może on spróbować troszkę poddusić Wasz serwer, aż jedyne co będzie można wyświetlić w przeglądarce, to błędy dostępności serwera/strony (5xx, np. 502, 503, 504 czy 522 od CloudFlare).

Atak DoS na WordPressa (CVE-2018-6389)

Kilka dni temu gdzieś w moich RSSech śmignął artykuł o tym, że aktualizacja WordPressa do wersji 4.9.3 będzie jednak dopiero za kilka dni, bo pojawiły się problemy z licencją jednej z bibliotek odpowiedzialnych za nowy edytor kodu wbudowany w WordPressa. Może to i dobrze, bo dzięki temu od razu załatają podatność, o której informuje m.in. na swojej stronie Barak Tawily. Tam też odsyłam po bardziej szczegółowe informacje…

Tak jak napisałem w pierwszym akapicie – szczęście w nieszczęściu nie mamy tu do czynienia z jakimś przełamaniem zabezpieczeń, a pewnym błędem, który może zostać wykorzystany do przeprowadzenia ataku DoS (Denial-of-Service, czyli odmowa dostępu) na naszą stronę, przez co ta może przestać być dostępna. Oczywiście taki atak można przeprowadzić prawie zawsze, i prawie na każdej stronie, i czasem jest łatwiej, a czasem trudniej.

Barak tym razem wziął „na warsztat” plik „script-loader.php”, który odpowiada za wczytywanie wykorzystywanych przez WordPressa skryptów w taki sposób, by były przesyłane do przeglądarki w ramach jednego żądania, co odbywa się poprzez wczytanie wszystkich wymaganych skryptów (JavaScript) i przesłanie ich w formie jednego „pliku”. Ma to oczywiście jak najbardziej sens, tyle tylko, że taka operacja – generowanie jednego pliku – może pochłonąć trochę zasobów, zwłaszcza, gdy czyjaś „przeglądarka” zażąda wszystkie możliwe pliki, a do tego wielokrotnie w krótkim czasie. Zwłaszcza, że można to zrobić bez uwierzytelnienia, a więc właściwie dowolna osoba na dowolnej stronie. Wtedy mogą się zacząć problemy – dla serwera z wydajnością, i ewentualnie dla „dowcipnisia” z prawem… ;-)

Jakby ktoś z Was obawiał się, że jakiś dowcipniś może „zapolować” na jego WordPressa, to jest przygotowana już poprawka, choć na razie jest to poprawka nieoficjalna.

(!) Zgłoś błąd na stronie