Саяхан шинжээчид WordPress-д зориулан бүтээсэн wpDiscuz залгаасаас аюултай сул талыг илрүүлжээ. Урьдчилсан тооцоогоор 35 мянган өөр газар эрсдэлд орсон байна. Өнөөдрийг хүртэл мэдээллийн аюулгүй байдлын магистрын зэрэг хамгаалсан цагийн Баку Plugin бүрэн сэргээгдсэн.
Олдсон залгаас яагаад аюултай вэ, мэдээллийн аюулгүй байдлын магистрын хөтөлбөрийг гадуур Баку
Алдартай wpDiscuz залгаасыг WordPress удирддаг 70 мянга орчим сайт ашигладаг. Шинжээчид нэг сар гаруйн өмнө залгаасын 7.0.0 хувилбарын сул талыг илрүүлсэн. Энэ алдаа нь CVSS хуваарь дээр хамгийн их оноо авсан тул маш аюултай болсон. Энэ нь үүнийг зөвшөөрөлгүй хэрэглэгч алсаас ашиглаж болно гэсэн үг юм. Дамжсан мэргэжилтнүүд захидал харилцааны курс мэдээллийн аюулгүй байдал Баку, WordPress залгаасуудад ийм эмзэг байдал нь ховор биш гэдгийг анхаарна уу.
wpDiscuz дээрх эмзэг байдлыг дараах байдлаар ашиглаж болно.
- серверт зураг биш ямар ч төрлийн файл байршуулах;
- файлыг ажиллуулах;
- кодыг алсаас гүйцэтгэх чадварыг олж авах.
Ийм эрх мэдэл нь халдагчдад зорилтот сайтаас нууц мэдээллийг хулгайлах боломжийг олгодог. Нэмж дурдахад нөөцийн ажиллагаа, хүртээмжид нөлөөлж, хуудсанд өөрийн элементүүдийг нэмж оруулаарай. Залгаасыг бүтээгчид wpDiscuz-ийн эмзэг хувилбарт зориулсан шинэчлэлтийг гаргахаар яаравчлав. Гэхдээ алдааг 7.0.6 хувилбар дээр XNUMX-р сарын сүүл гэхэд л үр дүнтэй арилгасан. Гэсэн хэдий ч өнөөдөр техникийн мэдээллийн аюулгүй байдлын сургалт Баку бүрэн сэргээгдсэн, энэ нь цахим нөөцийн эзэмшигчдэд аюул учруулахгүй. Тиймээс та залгаасыг ашиглахаас татгалзаж болохгүй, зөвхөн түүний хамгийн сүүлийн хувилбарыг суулгана уу.
Та яагаад эмзэг байдлыг засах хэрэгтэй байна
wpDiscuz-ийн хөгжүүлэгчид тэмдэглэснээр, залгаасыг ашигладаг ихэнх сайтууд хувилбараа автоматаар шинэчилсэн байна. Улмаар 35 мянган нөөц л эрсдэлд орсон байна. Долоо хоногийн дотор эмзэг сайтуудын тоог 5 мянга болгож бууруулсан. Хөгжүүлэгч багийн төлөөлөгчид залгаас нь өдөр бүр дор хаяж 3 мянган сайтыг шинэчилдэг болохыг тэмдэглэжээ. Энэ нь хоёр өдрийн дотор чухал ач холбогдолтой ганц цахим нөөц байх ёсгүй гэсэн үг юм алдаа. Бүх WordPress залгаас хөгжүүлэгчид тийм ч үр дүнтэй, хурдан ажилладаггүй нь харамсалтай.
wpDiscuz-ийг бүтээгчид ч танд сануулж байна интернет дэх мэдээллийн хамгаалалт судалгааны ажил Баку Энэ нь сайтын эзэдээс ихээхэн хамаардаг. Хэрэв та шаардлагатай бүх шинэчлэлтийг цаг тухайд нь суулгасан бол аливаа алдааны улмаас аюулд орох магадлал хамгийн бага байх болно. Ихэнх тохиолдолд халдагчид зөвхөн эзэд нь шаардлагатай бүх бүрэлдэхүүн хэсгүүдийг цаг тухайд нь шинэчлээгүй сайтуудад халдаж, улмаар хакеруудад цоорхой үлдээдэг. Эцсийн эцэст ихэнх шинэчлэлтүүд нь кибер аюулгүй байдлын салбарт гарсан алдааг арилгахад чиглэгддэг.
баг SEDİCOMM их сургууль: Cisco академи, Линуксийн мэргэжлийн хүрээлэн, Питон институт.