Biztonsági rés a W3 Total Cache bővítményben

Veszélyes hibát fedezett fel a napokban egy felhasználó a W3 Total Cache nevű, közismert és széles körben használt bővítményben. A W3 Total Cache eredetileg abból a célból készült, hogy a WordPress alapú weboldalak betöltésének sebességét gyorsítsa a statikus tartalmak gyorsítótárazásával. Egy konfigurációs hiba miatt azonban úgy néz ki, hogy “bárki egyszerűen letöltheti az összes adatbázis cache-kulcsot és azokból kiszűrheti az érzékeny információkat” – ahogyan a rés felfedezője írja.

A hibára hivatalos javítás jelenleg még nincs (remélhetőleg a fejlesztő hamarosan lépni fog), addig is a kezdőbbek számára javaslom, hogy a bővítményt kapcsolják ki és töröljék is, a haladók pedig a tárhelyük hozzáférését szigorúbbra állíthatják, hogy megvédjék a támadásoktól.

(Forrás: PCForum.hu; és köszönet Csillának, amiért szólt róla! 🙂 )

 

A biztonsági rés felfedezője szerint a problémát két dolog okozza:

1) A bővítmény a cache könyvtárat kívülről listázhatóvá teszi (tehát bárki hozzáférhet az adatbázis cache-kulcsokhoz), és a tetejében ezáltal egy egyszerű Google-kereséssel is megtalálható, hogy melyik blog használja a hibás bővítményt.

2) Még ha a listázhatóság nincs is bekapcsolva, a cache fájlok alapértelmezetten nyilvánosan letölthetőek.

A jó öreg megoldás, a .htaccess fájlba írt deny, from all valószínűleg segítene, de ennek sem Jason (a hiba felfedezője), sem én nem néztünk utána (én nem is vagyok annyira “techy-savvy”…), viszont Jason írt valamilyen kódot, ami őszerinte működik és megvédi a blogokat. Minderről többet az eredeti bejegyzésében olvashatsz: http://seclists.org/fulldisclosure/2012/Dec/242

 

Ne maradj le semmiről, iratkozz fel hírlevelünkre!

Katt a képre részletekért

Javasolt eszközök:

Banner250x250.png
Elementor Pro
Wpsuli Sybell
Sybell tárhely szolgáltatás
Adatvedelem.png
ADATVÉDELEM minta
Divihello
Prémium támogatás és ajándék Divi licence

Oszd meg te is!

A wpSuli alapja egymás támogatása. Lehet egyik ismerősöd pont most szeretne saját honlapot építeni, de kell neki egy segítő kéz…legyél Te ez a támogatás egy megosztással!

Megosztás itt: facebook
Facebook
Megosztás itt: twitter
Twitter
Megosztás itt: email
Email