Biztonsági rés a W3 Total Cache bővítményben

Share on facebook
Facebook
Share on google
Google+
Share on twitter
Twitter
Share on linkedin
LinkedIn

Veszélyes hibát fedezett fel a napokban egy felhasználó a W3 Total Cache nevű, közismert és széles körben használt bővítményben. A W3 Total Cache eredetileg abból a célból készült, hogy a WordPress alapú weboldalak betöltésének sebességét gyorsítsa a statikus tartalmak gyorsítótárazásával. Egy konfigurációs hiba miatt azonban úgy néz ki, hogy “bárki egyszerűen letöltheti az összes adatbázis cache-kulcsot és azokból kiszűrheti az érzékeny információkat” – ahogyan a rés felfedezője írja.

A hibára hivatalos javítás jelenleg még nincs (remélhetőleg a fejlesztő hamarosan lépni fog), addig is a kezdőbbek számára javaslom, hogy a bővítményt kapcsolják ki és töröljék is, a haladók pedig a tárhelyük hozzáférését szigorúbbra állíthatják, hogy megvédjék a támadásoktól.

(Forrás: PCForum.hu; és köszönet Csillának, amiért szólt róla! 🙂 )

 

A biztonsági rés felfedezője szerint a problémát két dolog okozza:

1) A bővítmény a cache könyvtárat kívülről listázhatóvá teszi (tehát bárki hozzáférhet az adatbázis cache-kulcsokhoz), és a tetejében ezáltal egy egyszerű Google-kereséssel is megtalálható, hogy melyik blog használja a hibás bővítményt.

2) Még ha a listázhatóság nincs is bekapcsolva, a cache fájlok alapértelmezetten nyilvánosan letölthetőek.

A jó öreg megoldás, a .htaccess fájlba írt deny, from all valószínűleg segítene, de ennek sem Jason (a hiba felfedezője), sem én nem néztünk utána (én nem is vagyok annyira “techy-savvy”…), viszont Jason írt valamilyen kódot, ami őszerinte működik és megvédi a blogokat. Minderről többet az eredeti bejegyzésében olvashatsz: http://seclists.org/fulldisclosure/2012/Dec/242

 

Oszd meg ha hasznos volt:

Share on facebook
Facebook
Share on google
Google+
Share on twitter
Twitter
Share on linkedin
LinkedIn
Ne maradj le semmiről, iratkozz fel hírlevelünkre!

Javasolt eszközök:

Banner250x250.png
Elementor Pro
Generatepress Logo White Asset
GeneratePress
Divi 4.0
Divihello
Prémium támogatás és ajándék Divi licence
Adatvedelem.png
ADATVÉDELEM minta
Aszf.png
Webshop ÁSZF minta

“Biztonsági rés a W3 Total Cache bővítményben” bejegyzéshez 3 hozzászólás

Szólj hozzá!

Ez a weboldal az Akismet szolgáltatását használja a spam kiszűrésére. Tudjunk meg többet arról, hogyan dolgozzák fel a hozzászólásunk adatait..