WordPress 4.5.2 安全更新

WordPress 紧急释出了安全更新 WP 4.5.2。该安全更新修复了 WordPress 4.5.1 以及早期版本中存在一些可被利用发起攻击的漏洞。如此同时,还需要关心一下 ImageMagick 的安全问题。

主要的漏洞有两个。一个是存在于 WordPress 4.5.1 以及早期版本的 Plupload 组件中的 SOME 漏洞。这个第三方组件被 WordPress 用来实现上传文件的功能。而另一个漏洞存在于 WordPress 4.2 到 4.5.1 版本中。受影响的组件是用于多媒体播放器的第三方 JavaScript 库 MediaElement.js。该漏洞可被利用于使用特定的 URI 执行 XSS 攻击。MediaElement.js 和 Plupload 都已经释出更新修正各自的漏洞。

作为 WordPress 类网站的管理员应该立即将网站程序升级到 WordPress 最新版本以避免可能发生的危险。如果站点支持自动更新,现在已经已经收到并开始应用更新了。如果不支持自动更新,则应尽早下载并手工应用更新。

附:关于 ImageMagick

另外值得一提的是最近被广泛报道的存在于 ImageMagick 图像处理库中的一个漏洞。该漏洞可被用于进行远程代码执行(RCE,Remote Code Execution),属于高危级别。该漏洞被命名为“ImageTragick (CVE-2016-3714, CVE-2016-3718 and CVE-2016-3715)” 。

因为 ImageMagick 被很多主机服务器广泛采用,同时其库文件还被很多图像处理插件(比如 PHP、Ruby、node.js 等)所采用,因而危害非常广。虽然 ImageMagick 开发团队已经于 2016.05.03 释出了更新 6.9.3-10 版本来修复漏洞,但是业界对于该更新能否完全解决问题还存在疑虑。而该漏洞可能造成的影响还没有充分显现出来。

因为 ImageMagick 或者包含其库文件的插件是由提供主机的服务器安装应用的,所以只有服务器管理员才能采取行动减轻该问题的影响。比如像水景一页这样运行自己的 VPS 的话,就需要考虑采取一些措施来规避此漏洞带来的安全隐患。不过幸运的是,当初水景一页嫌麻烦就没有使用 Imagick 程序。

如果不确定自己的服务器是否采用了 Imagick 程序,可以使用下面的方法检查(任选其一):

  • 查看服务器的 phpinfo() 输出,查找其中的 Imagick 字串;
  • 在服务器终端执行指令,
    php -m | grep imagick

    如果没有输出则说明没有使用此组件。

如果确定采用了此程序的话,就赶紧将其升级到最新版本。同时,因为上面提到的原因,还应该仅仅跟随 ImageMagick 主页上的更新通告采取额外的措施,比如给该软件配置目录的 policy.xml 文件增加一些安全检查。ImageMagick 推荐了 2 种方法来帮助服务器管理员来减轻影响,强烈建议大家两种方法都采用。©

本文发表于水景一页。永久链接:<https://cnzhx.net/blog/wordpress-4-5-2-security-release/>。转载请保留此信息及相应链接。

4 条关于 “WordPress 4.5.2 安全更新” 的评论

雁过留声,人过留名

您的电子邮箱地址不会被公开。 必填项已用 * 标注

特别提示:与当前文章主题无关的讨论相关但需要较多讨论求助信息请发布到水景一页讨论区的相应版块,谢谢您的理解与合作!请参考本站互助指南
您可以在评论中使用如下的 HTML 标记来辅助表达: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>