Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Wordpress 4.1.2 : une importante mise à jour de sécurité pour le CMS et les plugins

Des trous, des p'tits trous, encore des p'tits trous
Internet 2 min
Wordpress 4.1.2 : une importante mise à jour de sécurité pour le CMS et les plugins
Crédits : inbj/iStock

WordPress vient d'annoncer une mise à jour de sécurité critique estampillée 4.1.2. Elle corrige plusieurs failles, dont une qui pourrait permettre à n'importe qui de compromettre un site WordPress. Dans le même temps, de nombreux plugins ont également été mis à jour à cause d'une autre brèche.

WordPress 4.1.2 est disponible et il est fortement conseillé de se mettre à jour

Les sites fonctionnant sous WordPress sont régulièrement la cible de pirates qui exploitent des failles de sécurités sur le CMS lui-même ou bien sur ses plugins. On se souvient par exemple des 100 000 sites infectés à cause d'une brèche sur Slider Revolution et de la récente mise en garde du FBI.

Hasard ou pas du calendrier, WordPress vient justement de publier une importante mise à jour estampillée 4.1.2. L'équipe en charge du projet explique que « les versions 4.1.1 et antérieures sont affectées par une vulnérabilité critique cross-site scripting (XSS), qui pourrait permettre à des utilisateurs anonymes de compromettre un site ». Mais ce n'est pas tout et trois autres failles sont également bouchées.

Les plugins sont également touchés par une possible attaque par injection SQL

La première concerne WordPress 4.1 où il est possible d'uploader des fichiers non autorisés. La deuxième se trouve sur toutes les moutures 3.9 et plus récentes, et elle prend là aussi la forme d'une brèche XSS, mais à la portée « limitée » apparemment. Tout aussi inquiétant, « certains plugins étaient vulnérables à une attaque par injection SQL ».

Dans un autre billet, on apprend qu'il s'agit en fait d'une « ambiguïté » dans la documentation des fonctions add_query_arg () et remove_query_arg () que « de nombreux plugins les utilisent à tort, ouvrant la porte à de potentiels vecteurs d'attaque XSS dans leur code ».

De fait, de nombreux plugins ont donc été mis à jour et, en plus de WordPress 4.1.2, il est recommandé de faire un tour de ce côté-là afin de vérifier que tout va bien. On remarquera que, cette fois encore, WordPress ne mentionne absolument pas l'annonce de Malwarebytes sur une campagne d'infection. Pour rappel, le CMS n'avait pas non plus souhaité répondre à nos questions sur le sujet.

39 commentaires
Avatar de ThomasBrz Abonné
Avatar de ThomasBrzThomasBrz- 22/04/15 à 09:04:51

Carla Bruni mettra-t-elle a jour son site ? :troll:

Avatar de Maraumax INpactien
Avatar de MaraumaxMaraumax- 22/04/15 à 09:08:20

Estimation de la mise à jour par le prestataire : 50 000€ (remise commercial incluse !)

Avatar de hycday INpactien
Avatar de hycdayhycday- 22/04/15 à 09:15:06

concernant le deuxième point pour les plugins, comment corriger soit même la faille ? car certains plugins ne sont pas toujours mis à jour par leur auteur ! merci :)

Avatar de brazomyna INpactien
Avatar de brazomynabrazomyna- 22/04/15 à 09:36:13

hycday a écrit :

comment corriger soit même la faille ?

En aidant l'auteur ou à défaut en désactivant temporairement ledit plugin jusqu'à qu'une update soit proposée par l'auteur ? Pour le reste ,c'est du classique: Wordpress, comme d'autres produits, est malheureusement victime de son succès: quand une techno bien précise se retrouve avec une part de marché significative, elle devient de fait une cible suffisamment intéressante pour les pirates.

C'est un peu le même principe qui fait qu'on trouve beaucoup plus de tentatives d'intrusion, de virus, trojan, etc... sur des ordis équipés de Windows & MacOS comparé à Linux.

Perso, j'ai encore un vieux Wordpress qui tourne, mais qui est sandboxé au maximumu tellement je suis persuadé que si un jour on arrive à rentrer dans mon infra, ce sera sans doute par là qu'on sera passé. Et à plus long terme (et étant donné que j'ai (encore) les capacités de faire du dev. par moi-même), je lorgne du côté d'une évolution de mon site vers quelque chose de plus 'fait main', donc non standard (dans mon cas, je regarde du côté de NodeJS + Loopback + Angular, mais mon besoin est un peu atypique).  
Édité par brazomyna le 22/04/2015 à 09:39
Avatar de hycday INpactien
Avatar de hycdayhycday- 22/04/15 à 09:41:06

je veux bien aider et corriger la faille moi même puis envoyer mon travail, mais je cherchais une méthode qui explique (sans avoir à se taper un rapport de 35pages) comment corriger la faille. Est-ce que c'est "simplement" une histoire de renomamge de fonction dans un code, ou est ce que c'est plus complexe ? Les auteurs ne répondent pas toujours, et je ne vais pas forcément me taper un tour de tous les plugins sur tous les wordpress. Une recherche par mot clé aiderait par exemple à ne me concentrer que sur les plugins sujets à cette faille. Mais encore faut il que je sache la corriger derrière

Avatar de anonyme_a6c552c5fb4282d70e634ed16d39416a INpactien

Connexion au blog... ça mouline, ha oui, c'est vrai, j'ai pas coupé la mise à jour auto :dors:
Durant ce temps, je reçois un mail de mon blog (c'est-y pas trop mimi ??) comme quoi, howdy, j'ai été mis à jour.

... Enfin, 30 minutes plus tard, force est de constater que ça a tout bousillé.

Good news : wp-admin marche toujours et le backup manager aussi :fumer:

Avatar de Ricard INpactien
Avatar de RicardRicard- 22/04/15 à 09:48:07

Gné ? Il y a encore des gens (sérieux) qui utilisent cette passoire de Wordpress ? C'est une blague non ? :keskidit:

Avatar de brazomyna INpactien
Avatar de brazomynabrazomyna- 22/04/15 à 09:50:10

Ricard a écrit :

Gné ? Il y a encore des gens (sérieux) qui utilisent cette passoire de Wordpress ? C'est une blague non ? :keskidit:

La critique est aisée, mais l'art est difficile

Avatar de zefling Abonné
Avatar de zeflingzefling- 22/04/15 à 09:52:53

La mise à jour s'est faite automatiquement hier pour ma part.

Avatar de brazomyna INpactien
Avatar de brazomynabrazomyna- 22/04/15 à 09:54:07

hycday a écrit :

je veux bien aider et corriger la faille moi même puis envoyer mon travail, mais je cherchais une méthode qui explique (sans avoir à se taper un rapport de 35pages) comment corriger la faille. Est-ce que c'est "simplement" une histoire de renomamge de fonction dans un code, ou est ce que c'est plus complexe ? Les auteurs ne répondent pas toujours, et je ne vais pas forcément me taper un tour de tous les plugins sur tous les wordpress. Une recherche par mot clé aiderait par exemple à ne me concentrer que sur les plugins sujets à cette faille. Mais encore faut il que je sache la corriger derrière

L'article est assez détaillé à priori:

certains plugins étaient vulnérables à une attaque par injection SQL.Dans un autre billet, on apprend qu'il s'agit en fait d'une « ambiguïté » dans la documentation des fonctions add_query_arg () et remove_query_arg () (...)

Donc:

  • la première action serait de rechercher '*_query_arg' dans le code dudit plugin.
    • la deuxième c'est de suivre les recommandations du post sur le blog donné en lien:

"The easiest way to fix this in your plugin is to escape the output of add_query_arg() and remove_query_arg(). When it’s being printed to a page (for example as a link), you should use esc_url(). When it’s being used in HTTP headers or as part of a HTTP request (for example, as part of a location redirect header or in a wp_remote_get() call), you should use esc_url_raw()." 
 

Édité par brazomyna le 22/04/2015 à 09:57
Il n'est plus possible de commenter cette actualité.
Page 1 / 4