WordPress 4.5.2 安全更新

WordPress 紧急释出了安全更新 WP 4.5.2。该安全更新修复了 WordPress 4.5.1 以及早期版本中存在一些可被利用发起攻击的漏洞。如此同时,还需要关心一下 ImageMagick 的安全问题。

主要的漏洞有两个。一个是存在于 WordPress 4.5.1 以及早期版本的 Plupload 组件中的 SOME 漏洞。这个第三方组件被 WordPress 用来实现上传文件的功能。而另一个漏洞存在于 WordPress 4.2 到 4.5.1 版本中。受影响的组件是用于多媒体播放器的第三方 JavaScript 库 MediaElement.js。该漏洞可被利用于使用特定的 URI 执行 XSS 攻击。MediaElement.js 和 Plupload 都已经释出更新修正各自的漏洞。

作为 WordPress 类网站的管理员应该立即将网站程序升级到 WordPress 最新版本以避免可能发生的危险。如果站点支持自动更新,现在已经已经收到并开始应用更新了。如果不支持自动更新,则应尽早下载并手工应用更新。

附:关于 ImageMagick

另外值得一提的是最近被广泛报道的存在于 ImageMagick 图像处理库中的一个漏洞。该漏洞可被用于进行远程代码执行(RCE,Remote Code Execution),属于高危级别。该漏洞被命名为“ImageTragick (CVE-2016-3714, CVE-2016-3718 and CVE-2016-3715)” 。

因为 ImageMagick 被很多主机服务器广泛采用,同时其库文件还被很多图像处理插件(比如 PHP、Ruby、node.js 等)所采用,因而危害非常广。虽然 ImageMagick 开发团队已经于 2016.05.03 释出了更新 6.9.3-10 版本来修复漏洞,但是业界对于该更新能否完全解决问题还存在疑虑。而该漏洞可能造成的影响还没有充分显现出来。

因为 ImageMagick 或者包含其库文件的插件是由提供主机的服务器安装应用的,所以只有服务器管理员才能采取行动减轻该问题的影响。比如像水景一页这样运行自己的 VPS 的话,就需要考虑采取一些措施来规避此漏洞带来的安全隐患。不过幸运的是,当初水景一页嫌麻烦就没有使用 Imagick 程序。

如果不确定自己的服务器是否采用了 Imagick 程序,可以使用下面的方法检查(任选其一):

  • 查看服务器的 phpinfo() 输出,查找其中的 Imagick 字串;
  • 在服务器终端执行指令,
    php -m | grep imagick

    如果没有输出则说明没有使用此组件。

如果确定采用了此程序的话,就赶紧将其升级到最新版本。同时,因为上面提到的原因,还应该仅仅跟随 ImageMagick 主页上的更新通告采取额外的措施,比如给该软件配置目录的 policy.xml 文件增加一些安全检查。ImageMagick 推荐了 2 种方法来帮助服务器管理员来减轻影响,强烈建议大家两种方法都采用。©

本文发表于水景一页。永久链接:<http://cnzhx.net/blog/wordpress-4-5-2-security-release/>。转载请保留此信息及相应链接。

4 条关于 “WordPress 4.5.2 安全更新” 的评论

  1. wordpress 到4.5之后,以前一堆界面的错误都又回来了,用了几天我又退回到旧版本去了。

    • 出现界面错误是因为主题或者插件有不兼容的代码吧?觉得还是 debug 一下比较好。安全隐患放在那里感觉还是不踏实。

    • 更新慢也许也不是什么坏事,只要你没有在期待什么新功能,而且软件本身没什么 bug 的话。

时间过去太久,评论已关闭。
如果您有话要说,请到讨论区留言并给出此文章链接。
谢谢您的理解 :-)