简短版本:如果你没有使用UpdraftPlus高级版,也没有购买“自动备份”或“无广告”插件,如果不受信任的人可以登录你的WordPress网站(例如作为订阅用户),那么你应该立即更新到UpdraftPlus 1.9.51。对于其他人来说,更新也没有什么坏处,我们还是建议这么做。就在12个多小时前,Sucuri的破解安全研究人员通过负责的披露(谢谢!)主动通知我们,在刚刚发布的1.9.51版本之前,UpdraftPlus版本存在缺陷。细节跟进。
如果你有UpdraftPlus高级版,或有独立的“自动备份”或“无广告”插件,那么你不会受到影响。如果你的WordPress站点没有任何不受信任的用户可以登录(即,唯一可以登录的人是受信任的),那么你不会受到影响。如果你确实有这样的用户,但部署了一个解决方案来阻止不受信任的用户(例如非管理员)访问WordPress仪表板,那么你不会受到影响。如果你已经取消了WordPress仪表板上“Updates”页面的自动备份通知,那么在取消通知的这段时间(12周)内,你不会受到影响。如果你有UpdraftPlus的免费版本,而没有购买独立的“自动备份”或“无广告”插件,如果不受信任的用户可以登录到你的网站(例如作为订户)并访问WordPress仪表板,那么你就会受到影响。
影响
如果你受到了影响,那么恶意用户可以使用一个特别制作的URL(即网址),导致WordPress仪表板“泄漏”一个安全令牌,UpdraftPlus使用该令牌来识别有权限访问UpdraftPlus设置页面的网站管理员。使用这个令牌(WordPress称之为“nonce”),恶意用户可以创建更多的url来访问UpdraftPlus设置页面的信息,以获得进一步的访问权限。例如,他们可能会读取你的UpdraftPlus设置(包括你的Dropbox UpdraftPlus文件夹的访问令牌,例如,如果你使用Dropbox;(如果您使用谷歌Drive),下载备份并删除它们。根据站点上安装的其他组件(插件、主题),他们可能会利用这些组件执行其他恶意操作。在默认的WordPress安装中,Sucuri演示了可以将不需要的文件上传到WordPress媒体库中(但不是可以作为PHP代码运行的文件——也就是说,不是可以接管网站的文件)。
这是怎么发生的?
这种类型的漏洞来自于Sucuri最近几个月一直在研究并在他们的优秀博客上发布的一个类。UpdraftPlus未能意识到,一个登录的非管理用户可以访问一个特殊制作的URL,他通常无法通过单击仪表板周围看到,并未能在显示一个非管理用户通常不会看到的控件之前检查用户的凭证。(这个特殊的控件是关于自动备份功能的通知,在WordPress更新页面上,可以取消该消息)。具有讽刺意味的是,Sucuri提请注意的这类问题只发生在插件试图遵循WordPress安全标准时,即通过确保操作受到安全令牌(nonces)的保护。如果在页面中无意地将令牌包含给未授权的用户,恶意用户就可以试图部署令牌来访问他通常无法访问的其他插件功能。因此,一个简单的“解散此通知”链接可以成为访问其他更重要的功能的门户。我们有些沮丧地说,我们密切关注Sucuri的博客,阅读并欣赏他们在其他类似问题上的研究插件,并检查了UpdraftPlus不止一次,以审核我们是否可以发现这种类型的漏洞。但是,一个链中只要有一个弱的就能削弱整个链,而我们遗漏了一个。
在UpdraftPlus 1.9.51中是如何修复的?刚刚发布的UpdraftPlus 1.9.51在两个地方增加了额外的权限检查:首先,在有问题的令牌泄漏的特定情况下,使其不再泄漏;其次,当该令牌再次出现时,它不会被接受为充分的,但会对用户的访问级别进行双重检查。这第二级保护将使未来不可能发生相同类型的攻击,即使令牌确实泄漏。
我需要更新到UpdraftPlus 1.9.51?
上面已经解释过了——但是我们建议每个人都进行更新。UpdraftPlus 1.9.51与之前的版本(1.9.50)相同,有这些额外的检查。
是否有人利用了这个问题?据我们所知,在UpdraftPlus的以前版本中,还没有人利用这个问题。负责的安全研究人员发现了这个问题,并在12小时内发布了一个新的UpdraftPlus固定版本(在此期间我们验证了问题并测试了解决方案)。还有什么我应该做的吗?从理论上讲,如果你的网站上的恶意用户知道这个问题,他们就有可能从理论上获得对你的UpdraftPlus设置页面的访问权限——例如其他服务的密码(例如FTP, Amazon S3密钥)。您可能希望考虑重新设置这些凭据。(注意,在Dropbox的情况下,Dropbox令牌只能访问你的UpdraftPlus应用程序文件夹;类似地,Amazon S3密钥只能访问您为其设置的任何安全策略允许的桶)。
还有什么要说的吗?对于由于需要快速更新而造成的任何不便,我们非常非常抱歉。我们一直试图积极主动地确保UpdraftPlus的安全,但这一版本通过了多次内部审查。(你可能在WordPress 4.0.1的安全发布公告上看到了我的名字——我发现了一个小的安全漏洞,在那个版本中被报告并打了补丁)。
我们希望我们的快速行动,使更新立即可用,并充分披露,将有助于保持您对UpdraftPlus的信任。复杂的计算机软件,如WordPress和UpdraftPlus,不幸的是总是会有不必要的安全问题(我们的主要竞争对手在2014年底的时候有一个严重得多的漏洞),但当它们发生时,任何人都能做的就是快速响应。我们为2015年计划了令人兴奋的事情,希望您能继续收听我们的节目。最后,再次感谢Sucuri的研究人员负责任的披露。David Anderson (UpdraftPlus创始人、首席开发者)
