Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Возможность подстановки SQL-кода в популярном дополнении к W..."	+/–
Сообщение от opennews (??), 01-Мрт-17, 21:14
В NextGEN Gallery (https://wordpress.org/plugins/nextgen-gallery/), дополнении к системе управления web-контентом WordPress, насчитывающем более 16 млн загрузок и более миллиона установок, выявлена (https://blog.sucuri.net/2017/02/sql-injection-vulnerability-... критическая узвимость, позволяющая неаутентифицированному посетителю выполнить SQL-запрос и получить доступ к содержимому базы данных, в том числе к хэшам паролей пользователей WordPress. Проблема проявляется только если в дополнении активирована функции отображения облака тегов или разрешено размещение материалов для публикации после рецензирования. Уязвимость вызвана некорректной проверкой параметров запроса (например, "http://target.url/2017/01/17/new-one/nggallery/tags/test... что приводит к включению в SQL-запрос полученных от пользователя данных, без их корректной чистки.  Уязвимость молча устранена в версии NextGEN Gallery 2.1.79 без отражения информации об исправлении критической уязвимости в списке изменений (https://wordpress.org/plugins/nextgen-gallery/changelog/). URL: https://blog.sucuri.net/2017/02/sql-injection-vulnerability-... Новость: https://www.opennet.ru/opennews/art.shtml?num=46120
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по времени | RSS]

1. "Возможность подстановки SQL-кода в популярном дополнении к W..."	+14 +/–
Сообщение от Аноним (-), 01-Мрт-17, 21:14
Замечательно. В списке изменений безобидное "Changed: Tag display adjustment", а на деле "Security Risk: Critical; Exploitation Level: Easy/Remote; DREAD Score: 9; Vulnerability: SQL Injection".
Ответить | Правка | Наверх | Cообщить модератору

2. "Возможность подстановки SQL-кода в популярном дополнении к W..."	–3 +/–
Сообщение от Аноним (-), 01-Мрт-17, 22:13
Мда, пока есть школьники, то и пользователи будут. Не понимаю как такое сито можно вообще советовать в качестве движка для блога, не говоря уже о всяких магазинах. Очевидно, что только школо-ло будет советовать своим одноклассникам. В здравом уме люди будут юзать что-то другое.
Ответить | Правка | Наверх | Cообщить модератору

	3. "Возможность подстановки SQL-кода в популярном дополнении к W..."	+/–
	Сообщение от Аноним (-), 01-Мрт-17, 22:41
	Например? Какие альтернативы?
	Ответить | Правка | Наверх | Cообщить модератору

	4. "Возможность подстановки SQL-кода в популярном дополнении к W..."	–5 +/–
	Сообщение от НяшМяш (ok), 01-Мрт-17, 23:10
	Зачем вообще для блога движок? Можно всё лепить в статике без бекенда - какой-нибудь markdown шаблонизатор, а если нужны комментарии - можно disqus подключить.
	Ответить | Правка | Наверх | Cообщить модератору

	16. "Возможность подстановки SQL-кода в популярном дополнении к W..."	+/–
	Сообщение от Ordu (ok), 02-Мрт-17, 09:49
	У меня, например, disqus не работает по причине того, что анальный зонд. Мне не нравится идея централизованного хранилища моих графоманских комментариев, которая сможет всю эту графоманию на разнообразных сайтах увязать с одной личностью. И избавиться от этого не удастся путём креативного заполнения профилей на этих разных сайтах: необходимость выполнения жабаскрипта с этого самого disqus сводит на нет все подобные потуги. Ты б ещё предложил бы в социалочках комментарии из блога хранить. А движок позволяет всё сделать, прикладывая не больше усилий чем с disqus'ом, не размазывая при этом информацию пользователей по всему интернету. И усилий на это потребуется не больше. Просто не надо делать на вордпрессе.
	Ответить | Правка | Наверх | Cообщить модератору

	14. "Возможность подстановки SQL-кода в популярном дополнении к W..."	+/–
	Сообщение от GG (ok), 02-Мрт-17, 08:19
	Однажды меня это окончательно достало и я начал пилить свой велосипед на питоне
	Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

	15. "Возможность подстановки SQL-кода в популярном дополнении к W..."	+/–
	Сообщение от Аноним (-), 02-Мрт-17, 09:42
	OctoberCMS
	Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

	24. "Возможность подстановки SQL-кода в популярном дополнении к W..."	+/–
	Сообщение от sorrymak (ok), 02-Мрт-17, 16:10
	Pelican, Jekyll, Hugo.
	Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

	5. "Возможность подстановки SQL-кода в популярном дополнении к W..."	–1 +/–
	Сообщение от Sabakwaka (ok), 01-Мрт-17, 23:24
	>> школо-ло... https://www.nytimes.com/  — на wordpress'е и без проблем. И еще нацать пять тыщ сайтов. И все без проблем.
	Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

	6. "Возможность подстановки SQL-кода в популярном дополнении к W..."	+5 +/–
	Сообщение от redwolf (ok), 01-Мрт-17, 23:45
	Что-то мне подсказывает, что от WordPress они юзают только сам движок. Всё остальное написано нормальными программистами, а не теми, которые в маркет WP-плагинов плодят миллиардный вариант галереи с дыркой в безопасности.
	Ответить | Правка | Наверх | Cообщить модератору

	7. "Возможность подстановки SQL-кода в популярном дополнении к W..."	–2 +/–
	Сообщение от Sabakwaka (ok), 02-Мрт-17, 00:08
	> Что-то мне подсказывает, что от WordPress они юзают только сам движок. Естественно. WordPress — отличное хранилище статей, таксономии, связей и проч. Да еще и с плагин-интерфейсом. Морда забирает данные по REST. CDN встроен. Причем все есть в WordPress'е из коробки. Бери, да пили.
	Ответить | Правка | Наверх | Cообщить модератору

	8. "Возможность подстановки SQL-кода в популярном дополнении к W..."	+4 +/–
	Сообщение от пох (?), 02-Мрт-17, 00:41
	> Что-то мне подсказывает, что от WordPress они юзают только сам движок. что-то мне подсказывает, что нет. > Всё остальное написано нормальными программистами нормальным программистам нет никакой проблемы написать движок уровня "взять из базы тексты, показать юзеру" (равно как "взять из более-менее wysiwyg морды текст с картинками и запхать в базу") под специализированную задачу конкретного сайта. А вот когда "нормальный" уеб-дизайнер требует от них "виджет как у xxx, но в другой рамочке, и чтобы _я_ мог его визифиг по шаблону страницы двигать" по сто раз в день - ничего не остается, как тупо взять этот виджет вместе со всем прилагаемым к нему wp-плагином - и еще сто штук. Потом это все обвешивается контейнерами, прослойками, dpi+файрволлом+балансером, заодно фильтрующими явно нехорошие запросы, в самом конце, возможно, вообще ставится mod_security с ручным тюнингом - в общем, помимо программистов, зарплату получают три админа на все руки и два безопасника, плюс пять дежурной смены. А потом это все все равно дефейсят, потому что редактор ковырялся с материалом из кафешки, не заметив камеру наблюдения за спиной.
	Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

	10. "Возможность подстановки SQL-кода в популярном дополнении к W..."	–1 +/–
	Сообщение от Алексей (??), 02-Мрт-17, 05:53
	>Всё остальное написано нормальными программистами необязательно, просто если написано что-то свое уже взломать в разы сложнее, а если еще поменять стандартные пути на свои, то уже только ручной рутиной можно под конкретный сайт...
	Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

	11. "Возможность подстановки SQL-кода в популярном дополнении к W..."	+/–
	Сообщение от Аноним (-), 02-Мрт-17, 07:27
	Нет там никакого WordPress. Сам проверь. curl https://www.nytimes.com/ | grep wp
	Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

	21. "Возможность подстановки SQL-кода в популярном дополнении к W..."	+/–
	Сообщение от Аноним (-), 02-Мрт-17, 14:40
	> https://www.nytimes.com/  — на wordpress'е и без проблем. > > И еще нацать пять тыщ сайтов. > И все без проблем. Брехня, там Scoop CMS.
	Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

	29. "Возможность подстановки SQL-кода в популярном дополнении к W..."	+/–
	Сообщение от Michael Shigorin (ok), 03-Мрт-17, 11:41
	> https://www.nytimes.com/  — на wordpress'е и без проблем. У этих проблемы в ДНК, если что.  "И не лечатся" (ц). > И все без проблем. Плавали, знаем -- #потерьнет.
	Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

17. "Возможность подстановки SQL-кода в популярном дополнении к W..."	+1 +/–
Сообщение от gogo (?), 02-Мрт-17, 10:13
Поражает сpач в комментах насчет дополнений... Никто никого не заставляет их устанавливать! А если устанавливаете, то думайте бошкой, а не задoм. Или хоть как-нибудь, но думайте. В описании плагинов отлично видно, кто написал, когда обновлялся плагин и т.д. Плюс сейчас автообновление у ВП есть - большинство дыр фиксится задолго до того, как злых ботов на волю выпустят.
Ответить | Правка | Наверх | Cообщить модератору

	19. "Возможность подстановки SQL-кода в популярном дополнении к W..."	–1 +/–
	Сообщение от A.Stahl (ok), 02-Мрт-17, 11:23
	>В описании плагинов отлично видно, кто написал, когда обновлялся плагин и т.д. Охренеть какая полезная информация. Ну и какой аддон лучше, написанный A. van Noord или K.Kristensen? Или обновлённый 12 января хуже обновлённого 4 февраля?
	Ответить | Правка | Наверх | Cообщить модератору

	23. "Возможность подстановки SQL-кода в популярном дополнении к W..."	–2 +/–
	Сообщение от gogo (?), 02-Мрт-17, 15:59
	Вот, отличный пример человека, который не хочет думать и гордится этим. Мне стоит разжевывать, что если плагин имеет версию 1.0.0 и обновлялся три года назад, то это - подозрительный плагин? Как ты вообще хочешь? Чтобы было большими буквами написано "хороший" или "плохой" плагин? Если есть дельное предложение - напиши девелоперам ВП, они воспримут с радостью. На текущий момент они сделали как смогли, постарались выдать максимум информации о плагине. Если не можешь выбрать - не скули, чтобы кто-то выбрал за тебя. За таким - в эпл.
	Ответить | Правка | Наверх | Cообщить модератору

	25. "Возможность подстановки SQL-кода в популярном дополнении к W..."	–1 +/–
	Сообщение от A.Stahl (ok), 02-Мрт-17, 18:24
	>Мне стоит разжевывать, что если плагин имеет версию 1.0.0 и обновлялся три года назад, то это - подозрительный плагин? Не подавись только. А если плагин имеет версию 1.2.3 и обновлялся 3 года назад, то он лучше плагина версии 2.3.4, который обновлялся 2 года назад? Или наоборот? Большая версия говорит о востребованности плагина и его бурном развитии или о криворукости автора, которому часто приходится что-то исправлять? Год апдейта говорит о заброшенности или о законченности? Я знаю лишь то, что ты говоришь чушь.
	Ответить | Правка | Наверх | Cообщить модератору

	26. "Возможность подстановки SQL-кода в популярном дополнении к W..."	–1 +/–
	Сообщение от gogo (?), 02-Мрт-17, 18:57
	Да я уже понял, что ты настолько умный, что тебе думать не нужно. Не напрягайся. Активность разработчика - это главное для любого проекта. В open source это гарантия, что найденная третьим лицом ошибка будет исправлена быстро. Именно так здесь все устроено. И это работает, как тебе не покажется странным, в пылу твоего юношеского максимализма.
	Ответить | Правка | Наверх | Cообщить модератору

	30. "Возможность подстановки SQL-кода в популярном дополнении к W..."	+/–
	Сообщение от Michael Shigorin (ok), 03-Мрт-17, 11:45
	> Да я уже понял, что ты настолько умный, что тебе думать не нужно. Не напрягайся. А он ведь по существу.  В той же TYPO3, например, TER давно обучили рассказывать про расширения, по которым известны проблемы.  И состояние там не надо угадывать по версии и последней сборке -- может, сделано пять лет тому и на века (как минимум до ближайшего изменения API), а может, позавчера, но вчера уже нашли, эээ, "технологическое отверстие".  В смысле есть человекочитаемый статус от "Experimental" до уж не помню, что там за rock stable.
	Ответить | Правка | Наверх | Cообщить модератору

	28. "Возможность подстановки SQL-кода в популярном дополнении к W..."	+4 +/–
	Сообщение от redwolf (ok), 03-Мрт-17, 00:22
	Я вот хочу, чтобы было хотя бы вот так: https://www.drupal.org/security-advisory-policy
	Ответить | Правка | К родителю #23 | Наверх | Cообщить модератору

18. "Возможность подстановки SQL-кода в популярном дополнении к W..."	–1 +/–
Сообщение от Gemorroj (ok), 02-Мрт-17, 11:00
капец, в какой-то там дополнении к вп sql-injection. и чо??? там еще 100500 дополнений и в них 100500*n sql-injection-ов, что с того-то.
Ответить | Правка | Наверх | Cообщить модератору

	20. "Возможность подстановки SQL-кода в популярном дополнении к W..."	+/–
	Сообщение от Аноним (-), 02-Мрт-17, 11:30
	> капец, в какой-то там дополнении к вп sql-injection. и чо??? там еще > 100500 дополнений и в них 100500*n sql-injection-ов, что с того-то. Это одно из самых популярных дополнений, у него установок как у всех остальных CMS вместе взятых. С сайта дополнения - "The most popular WordPress gallery plugin and one of the most popular plugins of all time with over 16.5 million downloads."
	Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема