Jetpack 9.8引入Stories区块以及强制安全更新

Jetpack 9.8于本周发布,将WordPress Stories作为标题功能引入。允许用户创建交互式故事的区块以前只能在移动设备上使用,现在可以在Web编辑器中使用。Stories于2021年1月在 Android 应用程序上进入公测阶段,并于3月在移动应用程序上正式发布。

Jetpack 9.8

9.8 版还包括一个适用于所有使用轮播功能的站点的安全补丁。该漏洞允许泄露未发布页面/文章的评论。Jetpack团队与WordPress.org合作发布了 78 个补丁版本——Jetpack 2.0以来的每个版本,这已经足够严重了。不使用Carousel功能的站点不会受到攻击,但如果启用并且未打补丁,将来可能会受到攻击。

WordPress.org罕见地向所有易受攻击的Jetpack版本推送了强制更新,这让禁用自动更新的人感到惊讶。一些Jetpack用户在支持论坛上发帖,询问为什么该插件未经许可自动更新,并且在某些情况下没有更新到最新版本。

因此,即使禁用了自动更新,此更新也是WordPress网站上的强制更新?

昨晚凌晨 2 点,我们在一个prod站点上启用了此功能,该站点出于非常具体的原因禁用了自动更新。

— 布拉德·威廉姆斯 (@williamsba) ,2021 年 6 月 3 日

Jetpack团队成员Jeremy Herve表示,该漏洞是通过Hackerone负责任地披露的,允许他们针对该问题开发补丁。准备就绪后,Jetpack团队联系了WordPress.org安全团队,告知他们一个影响插件多个版本的漏洞。

“我们向他们发送了补丁以及我们拥有的所有信息(漏洞的PoC、哪些功能必须处于活动状态、哪些版本的Jetpack受到影响),”Herve说。“他们建议我们也为旧版本的Jetpack发布版本。

“我们创建了那些新的版本,当我们准备发布它们时,WordPress.org团队中的某个人在WordPress.org方面做了一些更改,这样运行旧的易受攻击版本插件的人就会得到自动更新,就像它对WordPress的核心版本起作用一样。。”

Jetpack团队成员Brandon Kraft估计,易受攻击的站点数量占该插件活跃安装的18%。他说Jetpack不是关于推出强制更新的讨论的一部分。

我们没有参与讨论。提供了详细信息并得到了回应,但我不希望安全会议是公开的。但是,是的。单个功能受到影响。一些事情需要全部真实才能在网站上发挥作用,这看起来像是合格的网站IIRC的 18%。

– 一个叫卡夫的人(@Kraft) 2021 年 6 月 3 日

“更令人困惑的是WordPress 5.5为插件(和主题)自动更新添加了一个UI,” Herve说。“该UI在帮助人们管理其网站上的插件自动更新的同时,与Core的强制更新过程略有不同。网站所有者可以停用这两种更新类型,就像可以停用core的自动更新一样,但我不相信(老实说也不建议)许多人停用这些更新。”

Brandon Kraft深入研究了该主题并发表了一篇文章,解释了自动更新和强制更新之间的区别。如果您不想在将来收到任何强制更新,它包括如何锁定文件修改。然而,强制更新极为罕见,自2013年以来,Kraft算到Jetpack只有3个强制更新。

在这种情况下,Jetpack团队遵循官方流程向插件和安全团队报告关键漏洞,他们根据设定的标准确定对用户的影响。

在这种情况下,Jetpack团队遵循了“向插件和安全团队(根据一套标准来判断对用户的影响)报告严重漏洞”的官方流程。收到有关Jetpack自动更新的电子邮件通知的用户,尽管已将仪表板中的UI设置为禁用它们,但应注意,出于安全目的,这些强制更新可能会出现一次。

NOC的创始人兼Sucuri的前首席执行官Tony Perez认为在WordPress中使用自动更新UI时,强制执行这样的安全更新违反了用户的意图。他强调了如果系统容易受到不良行为者的攻击,就有可能被滥用。

“该平台正在做出一个积极的决定,当他们明确表示不想做某事时,这可能与站点管理员的意图背道而驰,”佩雷斯说。“说白了,这是WordPress用户和帮助维护项目的基金会之间存在的信任滥用。

“我的立场不是它不应该存在。这是一场更深入的意识形态辩论,但它是关于尊重管理员的明确意图。”

评论留言