WordPress har testat tålamodet hos sina användare den senaste veckan med buggiga uppdateringar.
På måndagen släpptes vad som skulle vara en rätt odramatisk underhållsuppdatering som visade sig slå ut den automatiska uppdateringsfunktionen. De användare som installerade 4.9.3 slog därmed av den så viktiga automatiska uppdateringsfunktionen.
Kort därefter så släpptes sedan 4.9.4 som alltså måste installeras manuellt för att återställa funktionen.
Bugg
WordPress har dock valt att inte uppdatera en bugg som kan leda till överbelastnings-attacker riktade mot WordPress-sajter. Buggen finns i hanteringen av de sidor som ingår i en installation. det handlar om sidor som normalt bara ska vara tillgängliga för administratörer men en del av kommandona går att köra från inloggningssidan i WordPress.
The vulnerability exists due to a flaw in the server-side static file loading mechanism. The parameter “load” in the vulnerable modules “load-styles.php” and “load-scripts.php”, whoch reside under the “/wp-admin/” path, accepts an array of JS/CSS files to fetch while the page is loading. The vulnerable modules are usually used only in pages accessible by authenticated users, with an exception being the login page, whoch exposes said modules to unauthenticated users as well. Thus, a malicious user can repeatedly request an excessive list of JS/CSS files, causing the server to retrieve vast amounts of data — and in so — render it unresponsive.
WordPress har, enligt Barak Tawily som rapporterat buggen, valt att inte åtgärda felet utan menar att buggen är knuten till den server som webbplatsen finns installerad på.
0 kommentarer