WordPress 3.xx 跨站脚本漏洞安全补丁插件下载

翻墙软件下载 如何翻墙 翻墙网站

WordPress 3.xx 跨站脚本漏洞安全补丁插件下载 近日,芬兰资安业者Klikki Oy发现知名的免费架站平台WordPress 3版本含有重大安全漏洞,骇客可以利用跨站指令码(Cross-site scripting, XSS)攻击接管网站管理员的权限,进而在网站上注入各种恶意程式。根据WordPress今年11月的估计,目前3.x版使用率约占WordPress的85.6%,因此全球可能超过5000万个WordPress网站受到该漏洞影响,建议使用者立即更新到最新版的WordPress版本。 发现这个漏洞的Klikki Oy研究人员Jouko Pynnonen表示,该漏洞允许骇客在特定的文字栏位中注入程式码,通常是WordPress网站上文章或网页的评论(迴响,或回应)区域,WordPress上的预设值为任何人都可以评论或回应,而且不需登入或验证。 骇客能够在回应中注入夹杂程式码的内容,当目标对象透过管理员仪表板读取该评论时,就会触发恶意程式以接管管理员的帐号,之后便能执行各种管理员权限,包括更改管理员密码、建立新的管理员帐号,甚至在伺服器上执行攻击程式。 Klikki Oy已开发出概念性攻击程式,指出此一漏洞让骇客不需登入就能嵌人恶意程式,同时还能造成伺服器伤害,这也是WordPress自2009年以来最严重的漏洞。WordPress是在2010年6月释出WordPress 3.0版本,4.0则于今年的9月发表,显示该漏洞已存在4年,影响3.0~3.9.2。不过,此一漏洞并未波及最新的4.0版。3.9.2 以及更早之前的WordPress 版本都受到跨站指令码漏洞所影响,可让匿名使用者感染网站。该漏洞是由Jouko Pynnonen所发现。 虽然WordPress 4.0不受该漏洞影响,但4.0.1另外解决了23隻臭虫,共八项的安全问题。WordPress官网在释出WordPress 4.0.1的说明中表示,这次版本释出属重大的安全更新,建议所有较旧的WordPress版本都立即更新。 令人吐槽的是,WordPress官方只提供 升级至 4.0.1 版的解决方案,截至目前尚未提供专门针对wordpress 3.xx的修复补丁,这真的是很令人遗憾,要知道升级到 4.0.1 版后,原来使用的很多插件,甚至主题都可能不再兼容,很可能出现各种问题,所以升级至4.0.1 版一般是不太现实啊。 不过本站这里提供一个插件,可以修复该安全漏洞。在提供插件下载之前,当然本站已经修复了该漏洞,并针对此问题进行了全方位多角度的安全防范。 该插件的原理是禁用wordpress的 texturize 功能。texturize 功能会自动把文章或评论总的诸如 "--" 之类的符号自动替换成 "—" 等全角字符,这个功能应该和script没关系,可以安全禁掉的。关于这个漏洞的更多细节,可以访问这里:http://klikki.fi/adv/wordpress_press.html more ... 统计信息 : 2 帖子 || 26 阅读次数 Post by admin



原文地址: 禁书网 - News - Digest http://www.bannedbook.org/forum23/topic4436.html