Jetpack 9.8於本週釋出,將WordPress Stories作為標題功能引入。允許使用者建立互動式故事的區塊以前只能在移動裝置上使用,現在可以在Web編輯器中使用。Stories於2021年1月在 Android 應用程式上進入公測階段,並於3月在移動應用程式上正式釋出。
9.8 版還包括一個適用於所有使用輪播功能的站點的安全補丁。該漏洞允許洩露未釋出頁面/文章的評論。Jetpack團隊與WordPress.org合作釋出了 78 個補丁版本——Jetpack 2.0以來的每個版本,這已經足夠嚴重了。不使用Carousel功能的站點不會受到攻擊,但如果啟用並且未打補丁,將來可能會受到攻擊。
WordPress.org罕見地向所有易受攻擊的Jetpack版本推送了強制更新,這讓禁用自動更新的人感到驚訝。一些Jetpack使用者在支援論壇上發帖,詢問為什麼該外掛未經許可自動更新,並且在某些情況下沒有更新到最新版本。
因此,即使禁用了自動更新,此更新也是WordPress網站上的強制更新?
昨晚凌晨 2 點,我們在一個prod站點上啟用了此功能,該站點出於非常具體的原因禁用了自動更新。
— 布拉德·威廉姆斯 (@williamsba) ,2021 年 6 月 3 日
Jetpack團隊成員Jeremy Herve表示,該漏洞是通過Hackerone負責任地披露的,允許他們針對該問題開發補丁。準備就緒後,Jetpack團隊聯絡了WordPress.org安全團隊,告知他們一個影響外掛多個版本的漏洞。
“我們向他們傳送了補丁以及我們擁有的所有資訊(漏洞的PoC、哪些功能必須處於活動狀態、哪些版本的Jetpack受到影響),”Herve說。“他們建議我們也為舊版本的Jetpack釋出版本。
“我們建立了那些新的版本,當我們準備釋出它們時,WordPress.org團隊中的某個人在WordPress.org方面做了一些更改,這樣執行舊的易受攻擊版本外掛的人就會得到自動更新,就像它對WordPress的核心版本起作用一樣。。”
Jetpack團隊成員Brandon Kraft估計,易受攻擊的站點數量佔該外掛活躍安裝的18%。他說Jetpack不是關於推出強制更新的討論的一部分。
我們沒有參與討論。提供了詳細資訊並得到了迴應,但我不希望安全會議是公開的。但是,是的。單個功能受到影響。一些事情需要全部真實才能在網站上發揮作用,這看起來像是合格的網站IIRC的 18%。
– 一個叫卡夫的人(@Kraft) 2021 年 6 月 3 日
“更令人困惑的是WordPress 5.5為外掛(和主題)自動更新新增了一個UI,” Herve說。“該UI在幫助人們管理其網站上的外掛自動更新的同時,與Core的強制更新過程略有不同。網站所有者可以停用這兩種更新型別,就像可以停用core的自動更新一樣,但我不相信(老實說也不建議)許多人停用這些更新。”
Brandon Kraft深入研究了該主題並發表了一篇文章,解釋了自動更新和強制更新之間的區別。如果您不想在將來收到任何強制更新,它包括如何鎖定檔案修改。然而,強制更新極為罕見,自2013年以來,Kraft算到Jetpack只有3個強制更新。
在這種情況下,Jetpack團隊遵循官方流程向外掛和安全團隊報告關鍵漏洞,他們根據設定的標準確定對使用者的影響。
在這種情況下,Jetpack團隊遵循了“向外掛和安全團隊(根據一套標準來判斷對使用者的影響)報告嚴重漏洞”的官方流程。收到有關Jetpack自動更新的電子郵件通知的使用者,儘管已將儀表板中的UI設定為禁用它們,但應注意,出於安全目的,這些強制更新可能會出現一次。
NOC的創始人兼Sucuri的前執行長Tony Perez,認為在WordPress中使用自動更新UI時,強制執行這樣的安全更新違反了使用者的意圖。他強調了如果系統容易受到不良行為者的攻擊,就有可能被濫用。
“該平臺正在做出一個積極的決定,當他們明確表示不想做某事時,這可能與站點管理員的意圖背道而馳,”佩雷斯說。“說白了,這是WordPress使用者和幫助維護專案的基金會之間存在的信任濫用。
“我的立場不是它不應該存在。這是一場更深入的意識形態辯論,但它是關於尊重管理員的明確意圖。”
評論留言