URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 116079
[ Назад ]

Исходное сообщение
"В WordPress 5.0.1 устранена уязвимость, приводящая к индекса..."

Отправлено opennews , 14-Дек-18 11:25 
Спустя неделю с момента выхода новой ветки системы управления web-контентом WordPress 5.0 (https://www.opennet.me/opennews/art.shtml?num=49740)  сформирован корректирующий релиз 5.0.1, в котором устранено 7 уязвимостей (https://wordpress.org/news/2018/12/wordpress-5-0-1-security-.../):


-  Страница активации пользователя могла индексироваться поисковыми системами, что при определённых настройках могло привести к утечке через поисковики email-адресов и сгенерированных по умолчанию паролей;
-  Пользователи могли через манипуляции с мета-данными выполнить подстановку объектов и инициировать выполнение свого PHP-кода;

-  Авторы могли изменить метаданные для инициирования удаления файлов, не имея на это полномочий;

-  Авторы могли размещать неразрешённые им типы публикации через манипуляции с параметрами запроса;

-  Непривилегированные участники могли редактировать новые комментарии более привилегированных пользователей (в том числе могли подставить в комментарии JavaScript-код, если автор изначального комментария имел на это полномочия);

-  Возможность организации межсайтового скриптинга через указание специально оформленных ссылок (непосредственно WordPress  не подвержен проблеме, но уязвимость проявляется при использовании некоторых плагинов);

-  Возможность организации межсайтового скриптинга через загрузку авторами контента специально модифицированных файлов, которые позволяют обойти верификацию MIME-типов на системах под управлением http-сервера Apache.

URL: https://wordpress.org/news/2018/12/wordpress-5-0-1-security-.../
Новость: https://www.opennet.me/opennews/art.shtml?num=49781


Содержание

Сообщения в этом обсуждении
"В WordPress 5.0.1 устранена уязвимость, приводящая к индекса..."
Отправлено КГБ СССР , 14-Дек-18 11:25 
Это уже вообще. :-)

Давайте ещё реквизиты кредиток проиндексируем.


"В WordPress 5.0.1 устранена уязвимость, приводящая к индекса..."
Отправлено Аноним , 14-Дек-18 11:48 
uBlock в помощь

"В WordPress 5.0.1 устранена уязвимость, приводящая к индекса..."
Отправлено Аноним , 14-Дек-18 12:12 
Ublock в вордпрессе? Да ты силён!

"В WordPress 5.0.1 устранена уязвимость, приводящая к индекса..."
Отправлено а давайте , 14-Дек-18 17:47 
https://ptpb.pw/q3ii.png

"В WordPress 5.0.1 устранена уязвимость, приводящая к индекса..."
Отправлено КГБ СССР , 14-Дек-18 17:55 
Ага. Вот поэтому надо использовать uMatrix и блокировщики в запретительном режиме (то есть: запрещено всё, что не разрешено явно).

"В WordPress 5.0.1 устранена уязвимость, приводящая к индекса..."
Отправлено Dmitry77 , 14-Дек-18 19:07 
Сильно!

"В WordPress 5.0.1 устранена уязвимость, приводящая к индекса..."
Отправлено Гутенберг , 14-Дек-18 11:33 
Зато в 5.0 новый редактор !

"В WordPress 5.0.1 устранена уязвимость, приводящая к индекса..."
Отправлено Аноним , 14-Дек-18 12:12 
Вордпресс это интерпрайз!

"В WordPress 5.0.1 устранена уязвимость, приводящая к индекса..."
Отправлено Аноним , 14-Дек-18 11:34 
Эпично, что тут сказать.
Web 3.0, суперинновацонномегасовременные решения...

"В WordPress 5.0.1 устранена уязвимость, приводящая к индекса..."
Отправлено Аноним , 14-Дек-18 11:37 
> Страница активации нового пользователя могла индексироваться поисковыми системами

Нечего вставлять на страницы активации код Google Analytic и Google Adsence.
Бот Google теперь очень шустрый и почти сразу пытается индексировать страницы, на которых был вызов рекламы или счётчика Google. Защита простая - никакого внешнего JavaScript-кода на страницах авторизации.

С этом кстати очень много казусов связано, когда пользователь размещает какой-то приватный текст, думая что если ссылку никому не показывать, никто его не увидит. А потом этот текст всплывает в выдаче Google.


"В WordPress 5.0.1 устранена уязвимость, приводящая к индекса..."
Отправлено Аноним , 14-Дек-18 11:52 
> Нечего вставлять на страницы активации код Google

Тогда сайта не будет в выдаче гугла, или он будет, но где-то глубоко внизу спины. Для мелкого бизнеса это может быть очень нежелательно. Поэтому идут на поводу Гугла, ибо деваться некуда. Если гугл скажет "храни у меня БД юзеров с паролями, настройками и историей - получишь 10 мест вверх в выдаче" - будут хранить.


"В WordPress 5.0.1 устранена уязвимость, приводящая к индекса..."
Отправлено Дмитрий , 14-Дек-18 12:06 
Значит в топkу (что за фильтр???) такой бизнес. А если гугл скажет хранить пароли в незашифрованном формате, но поднимет на 100 позиций, так и сделает бизнес?

"В WordPress 5.0.1 устранена уязвимость, приводящая к индекса..."
Отправлено наебизнес , 14-Дек-18 12:20 
конечно - это ж твои пароли, а не мои.


"В WordPress 5.0.1 устранена уязвимость, приводящая к индекса..."
Отправлено Аноним , 14-Дек-18 12:20 
как г... скажет так и сделают. гугл для среднестатистического айтишника - священный грааль сети  

"В WordPress 5.0.1 устранена уязвимость, приводящая к индекса..."
Отправлено Аноним , 16-Дек-18 12:30 
Бизнесу вообще всё равно какие требования ты хочешь увидеть на их сайте. На сертификаты и прочие требования безопасности смотрят единицы пользователей, от таких можно и отказаться они выручку не сделают. Да и они если не найдут лучшего предложения будут покупать у них закрыв глаза на безопасность.

"В WordPress 5.0.1 устранена уязвимость, приводящая к индекса..."
Отправлено Аноним , 14-Дек-18 11:47 
Привет phar бэкдорам.

"В WordPress 5.0.1 устранена уязвимость, приводящая к индекса..."
Отправлено Аноним , 14-Дек-18 11:56 
Хе-хе... эпично.
Ждём юных вебдизайнеров, марширующих стройной колонной с лозунгом "а зато мы лепим остойные сайты быстро и много".

"В WordPress 5.0.1 устранена уязвимость, приводящая к индекса..."
Отправлено Антон , 14-Дек-18 13:15 
пока они будут делать долго, дорого и качественно их конкуренты обойдут. Плюс студия потом еще поимеет профит на "починке" сайта или даже чужих сайтов.

И бизнес не понимает, почему нельзя набрать студентов на похапе и слабать сайтик за 5 тыщ, зойчем платить больше.


"В WordPress 5.0.1 устранена уязвимость, приводящая к индекса..."
Отправлено Аноним , 14-Дек-18 14:16 
ога. а если сайт поломают - можно навешать люлей админу и лишить премии.

"В WordPress 5.0.1 устранена уязвимость, приводящая к индекса..."
Отправлено Аноним , 14-Дек-18 14:17 
в смысле - своему офисному админу.

"В WordPress 5.0.1 устранена уязвимость, приводящая к индекса..."
Отправлено Криптоинтвестор , 14-Дек-18 16:55 
Галеры и шлюпки не нужны, прыгайте за порт пока не поздно.

"В WordPress 5.0.1 устранена уязвимость, приводящая к индекса..."
Отправлено Аноним , 14-Дек-18 12:08 
По-моему, это список уязвимостей для приложения версии 0.2.3 или там 0.5.7. Ну ладно, 0.9.4.
Но вордпресс версии 5, выпускаемый уже много лет.. КААААК?

"В WordPress 5.0.1 устранена уязвимость, приводящая к индекса..."
Отправлено A.Stahl , 14-Дек-18 12:27 
Проект жив, код меняется, поэтому могут возникать новые ошибки. Что здесь странного?

"В WordPress 5.0.1 устранена уязвимость, приводящая к индекса..."
Отправлено ram_scan , 14-Дек-18 12:42 
> Проект жив, код меняется, поэтому могут возникать новые ошибки. Что здесь странного?

То что проект жив, код  меняется, а грабли все те же и все там-же.


"В WordPress 5.0.1 устранена уязвимость, приводящая к индекса..."
Отправлено A.Stahl , 14-Дек-18 12:50 
Вовсе нет. Там грабли всегда разные и в разных местах. Не наговаривайте.


"В WordPress 5.0.1 устранена уязвимость, приводящая к индекса..."
Отправлено Аноним , 15-Дек-18 14:07 
Не обманывай людей. Эти и подобные ошибки в вордпрессе всплывают ченжлогах уже не первый год. Одни и те же. В разных местах, но одно и то же. Из раза в раз. О чём это говорит? О том, что его разработчики работают на скорость, а о качестве кода им думать некогда.

"В WordPress 5.0.1 устранена уязвимость, приводящая к индекса..."
Отправлено Аноним , 14-Дек-18 13:05 
Странно то, что код меняется не в лучшую сторону. Впрочем, для php-проектов, особенно wp, это нормально.

"В WordPress 5.0.1 устранена уязвимость, приводящая к индекса..."
Отправлено th3m3 , 14-Дек-18 20:59 
Странно то, что кто-то продолжает пользоваться этим в 2018 году.

"В WordPress 5.0.1 устранена уязвимость, приводящая к индекса..."
Отправлено OldFart , 15-Дек-18 17:53 
А что лучше?

"В WordPress 5.0.1 устранена уязвимость, приводящая к индекса..."
Отправлено th3m3 , 15-Дек-18 18:12 
>  А что лучше?

Более современный и адекватный язык, а так же фрамеворк. Никто давно уже не сидит на коробочных CMS и уж тем более на php.


"В WordPress 5.0.1 устранена уязвимость, приводящая к индекса..."
Отправлено OpenEcho , 15-Дек-18 19:51 
>Более современный и адекватный язык,

Ысчо один Цукерберг? - We moving fast, we breaking things...

Вот все, что было созданно более-менее прилично, имеет очень долгую историю, доказывающие право на жизнь. И чем C-подобный PHP не угодил в плане адекватности ?


> а так же фрамеворк.

Ага, выучи язык, а потом выучи нахлобучку на него, где в нем будет херова туча фигни, которая не будет использоваться, тянуть хренову тучу за собой зависимостей и переодически ломать все при переходе с версии на версию...

> Никто давно уже не сидит на коробочных CMS и уж тем более на php.

Ну да, мнение опеннетчика значительно выше банальной статистики, открою вам секрет:

>WordPress controls nearly 60% of the CMS market! What’s even more impressive, is that nearly 30% of all websites run on WordPress.

Из них четверть миллиона инсталяций в топе первого миллиона самых популярных сайтов...


"В WordPress 5.0.1 устранена уязвимость, приводящая к индекса..."
Отправлено КГБ СССР , 15-Дек-18 22:18 
Как только в разговоре на технические темы прозвучало «более современное», то жди неприятностей.

"В WordPress 5.0.1 устранена уязвимость, приводящая к индекса..."
Отправлено Аноним , 16-Дек-18 02:03 
Правильно. Поэтому вместо PHP (1995) лучше использовать Erlang (1986).

"В WordPress 5.0.1 устранена уязвимость, приводящая к индекса..."
Отправлено th3m3 , 15-Дек-18 22:55 
Миллионы леммингов не могут ошибаться. Угу)

"В WordPress 5.0.1 устранена уязвимость, приводящая к индекса..."
Отправлено OpenEcho , 15-Дек-18 23:51 
> Миллионы леммингов не могут ошибаться. Угу)

От такого "гениального величия", смотрите к психиатору не угодите...

Так где тот самый адекватный язык, на котором все переписать надо ?
У леммингов лапы чешуться прикоснутся к тому на чем только великие пишут...


"В WordPress 5.0.1 устранена уязвимость, приводящая к индекса..."
Отправлено Аноним , 16-Дек-18 02:01 
Чесотка - контагиозное кожное заболевание. Мало ли что там где у них чешется. Их надо по этим лапам бить, и не позволять ничего трогать.

"В WordPress 5.0.1 устранена уязвимость, приводящая к индекса..."
Отправлено OpenEcho , 16-Дек-18 12:40 
>Их надо по этим лапам бить, и не позволять ничего трогать.

А кто работать тогда будет? Гении на опеннете заняты, им не когда, надо советы умные давать...


"В WordPress 5.0.1 устранена уязвимость, приводящая к индекса..."
Отправлено Аноним , 14-Дек-18 12:30 
изменилась методика обнаружения уязвимостей.

"В WordPress 5.0.1 устранена уязвимость, приводящая к индекса..."
Отправлено Аноним , 17-Дек-18 11:54 
Главное, что ВВП все страны считают по-старому. Чтобы не путать людей.

"В WordPress 5.0.1 устранена уязвимость, приводящая к индекса..."
Отправлено Борщдрайвен бигдата , 14-Дек-18 13:18 
> Initial release: 2003

Итого, уже пятнадцать лет проект живет без юнит-тестов, без статической проверки анализаторами кода, и так далее, и тому подобное.

Это уж точно не норма.


"В WordPress 5.0.1 устранена уязвимость, приводящая к индекса..."
Отправлено th3m3 , 14-Дек-18 20:58 
Как тут писали любители обмазываться всяким там php-УГ - якобы Wordpress пилят профи. Вот они и родили для этого чуда говонокодинга, очередную эпичную проблему. И да, они сейчас скажут, что это нормально) Они уже привыкли, им не привыкать.

"В WordPress 5.0.1 устранена уязвимость, приводящая к индекса..."
Отправлено Ilya Indigo , 14-Дек-18 12:18 
Я в шоке...
И большинство вэб-студий продолжают его использовать невзирая ни на что...
И почти всех клиентов этих студий это устраивает...

"В WordPress 5.0.1 устранена уязвимость, приводящая к индекса..."
Отправлено Дмитрий , 14-Дек-18 12:19 
Дак им всё равно, сайт сделали - деньгу получили, всё, иди гуляй, так работают многие :)

"В WordPress 5.0.1 устранена уязвимость, приводящая к индекса..."
Отправлено уепстудия , 14-Дек-18 12:21 
потому что все остальное еще хуже, что тебя удивляет?

если в твоем языке нельзя исполнить какой-нибудь интересный код, просто при попытке проверить, существует ли на диске файл .jpg, ты жалкий неудачник, твой сайт никто не купит.


"В WordPress 5.0.1 устранена уязвимость, приводящая к индекса..."
Отправлено Аноним , 14-Дек-18 12:33 
Будь я автором такого проекта, я бы давно выкинул комп и пошел работать сантехником. Это же позорище, каждый  месяц новые критические баги. И кто-то у меня будет спрашивать, почему я ругаю похапе?

"В WordPress 5.0.1 устранена уязвимость, приводящая к индекса..."
Отправлено Аноним , 14-Дек-18 13:47 
Ага, пусть на Си перепишут

"В WordPress 5.0.1 устранена уязвимость, приводящая к индекса..."
Отправлено blblblblbl , 14-Дек-18 14:55 
o5-25, причём тут похапе и толпа долбоящеров?
Я знаю питонщиков "с многолетним опытом разработки", которые, сцуко в 2018 году хранят пароли в открытом виде, наверное потому, что питон плохой и нормальное хеширование там сложно сделать.

"В WordPress 5.0.1 устранена уязвимость, приводящая к индекса..."
Отправлено Qwerty , 16-Дек-18 14:02 
>o5-25

Тебе ли говорить о долбоящерах?


"В WordPress 5.0.1 устранена уязвимость, приводящая к индекса..."
Отправлено пох , 14-Дек-18 15:48 
Стоять, гад, куда собрался!? Это тебе не программирование, этим только специально обученные люди должны заниматься!

Если такими руками будут в сантехнику - нас дерьмовым цунами смоет к хренам. Пусть от компьютера вообще лучше не отходят, меньше масштаб катаклизма.

> И кто-то у меня будет спрашивать, почему я ругаю похапе?

пароли проиндексировал ни разу не похапе.


  


"В WordPress 5.0.1 устранена уязвимость, приводящая к индекса..."
Отправлено Аноним , 14-Дек-18 17:56 
сантех для тех, кто хочет вести "половую" жизнь, сравнение - нарабатывание геммороя и аутизма на программировании против слив на голову, штроб, пайка, и чугунные 10-ки для надрыва мышц

"В WordPress 5.0.1 устранена уязвимость, приводящая к индекса..."
Отправлено Аноним , 16-Дек-18 12:35 
Анекдот в тему.
Пошел парень в ученики к сантехнику. Наставник взял его с собой
канализацию прочищать. Видят они - люк доверху дерьмом наполнен.
Сантехник говорит парню:
- Ты здесь сиди и подавай мне инструменты.
А сам нырнул в люк. Через минуту выныривает:
- Давай ключ на 15!
И опять нырнул.
Вскоре дерьмо из люка ушло, вылезает довольный сантехник и говорит парню:
- Вот видишь, учись, а то всю жизнь так и будешь ключи подавать!

"В WordPress 5.0.1 устранена уязвимость, приводящая к индекса..."
Отправлено Аноним , 16-Дек-18 21:33 
лучше вызов на порыв, чем по приказу или нужде отдуваться за кодошлёпов)



"В WordPress 5.0.1 устранена уязвимость, приводящая к индекса..."
Отправлено th3m3 , 14-Дек-18 21:02 
Как это обычно бывает, Wordpress наговнокодили по быстрому, а он вдруг выстрелил. Нет бы переписать всё на что-то более адекватное, с нормальной архитектурой, нормальным языком и т.д. Но нет, они выбрали обмазываться этим и дальше. А пользователей, даже не жалко, они сами сделали выбор.

"В WordPress 5.0.1 устранена уязвимость, приводящая к индекса..."
Отправлено OpenEcho , 15-Дек-18 19:34 
>Нет бы переписать всё на что-то более адекватное, с нормальной архитектурой, нормальным языком и т.д.

Вы cлучайно не политик ? Можно конкретики?  адекват, архитектура и "нормальный" язык - говорит ни о чем, а создавать что то на "ни о чем" - попахивает авантурой


"В WordPress 5.0.1 устранена уязвимость, приводящая к индекса..."
Отправлено pda , 14-Дек-18 12:44 
Инновационно. Ссылка "забыл пароль" ведёт на google "<my@email>" site:<wordpress.sitename>.

"В WordPress 5.0.1 устранена уязвимость, приводящая к индекса..."
Отправлено аноним3 , 14-Дек-18 23:18 
И блоба не надо. Сами отдают. Юзвери такие милые, вот только что на опеннете делают?)

"В WordPress 5.0.1 устранена уязвимость, приводящая к индекса..."
Отправлено Аноним , 17-Дек-18 18:25 
Высказывают своё ценное мнение.
Тут из реальных специалистов полтора человека,
да и те приходят за тонким трололо,
остальные юзеры и есть.

"В WordPress 5.0.1 устранена уязвимость, приводящая к индекса..."
Отправлено elimelech , 14-Дек-18 13:44 
вот подождите новая Джумла вам покажет! :))))

"В WordPress 5.0.1 устранена уязвимость, приводящая к индекса..."
Отправлено Аноним , 14-Дек-18 13:59 
Пока Вы тут охайте какой же небезопасный инструмент этот вордпрес, компании кучу бабла уже с него поимели.

"В WordPress 5.0.1 устранена уязвимость, приводящая к индекса..."
Отправлено Аноним , 15-Дек-18 14:11 
Мне тебя жаль, если бабло для тебя — главное мерило успеха.

"В WordPress 5.0.1 устранена уязвимость, приводящая к индекса..."
Отправлено OpenEcho , 16-Дек-18 00:14 
> Мне тебя жаль, если бабло для тебя — главное мерило успеха.

А че? В магазинах теперь можно за лозунги, веру и моральное удовлетворение что то купить ?
Вам бы лет на 40-80 назад вернуться и на БАМ к Павке Корчагину...
Вы стариков поспрашивайте, - много им к концу жизни перепало за их духовное богатство


"В WordPress 5.0.1 устранена уязвимость, приводящая к индекса..."
Отправлено Аноним , 17-Дек-18 18:28 
"Мне тебя жаль" это такая форма унижения людей разными мyдаками в Интернете. Ты даже не толстый, а длинный как лента Мёбиуса.

"В WordPress 5.0.1 устранена уязвимость, приводящая к индекса..."
Отправлено Онаним , 14-Дек-18 20:27 
Индексация паролей? Это как? Не, какой радиус кривизны должен быть у рук, чтобы такое состряпать.

"В WordPress 5.0.1 устранена уязвимость, приводящая к индекса..."
Отправлено Криптоинтвестор , 14-Дек-18 20:53 
На DSL Ruby такое трудно запилить...

"В WordPress 5.0.1 устранена уязвимость, приводящая к индекса..."
Отправлено Аноним , 15-Дек-18 14:18 
Не обманывай. Достаточно на страницу восстановления пароля (со сгенерированным новым полем) поставить счётчик гугла/яндекса/байду. robots.txt всё равно ж никто не настаивает (а бинговый бот часто его игнорирует).

"В WordPress 5.0.1 устранена уязвимость, приводящая к индекса..."
Отправлено Drew , 06-Янв-19 02:26 
Млять.
Ну что мешает на предыдущей странице отдавать клиенту куку, а на этой -- эту куку проверять?! И если куки нет -- отдавать стаб, а не страницу?
Это что, вершина Web-технологий?

"В WordPress 5.0.1 устранена уязвимость, приводящая к индекса..."
Отправлено OldMonster , 15-Дек-18 15:03 
индексация паролей....
Хорошая новость, спасибо, поржал!

"В WordPress 5.0.1 устранена уязвимость, приводящая к индекса..."
Отправлено Аноним , 16-Дек-18 12:38 
Теперь проще пароли будет искать