Haittaohjelma jumittaa tietokoneen, jos se huomataan Microsoftin päivitykset korjaavat 46 haavoittuvuutta

08 05 2015

Wordpress korjaa taas haavoittuvuuksia

Tunnisteet: haavoittuvuudet, wordpress

Laajasti käytössä olevaan Wordpress-sisällönhallintajärjestelmään on julkaistu korjaus, joka paikkaa kriittiseksi luokitellun haavoittuvuuden.

Wordpress 4.2.2 korjaa kaksi haavoittuvuutta ja sisältää useita parannuksia. Haavoittuvuuksien avulla hyökkääjän on mahdolliista ottaa sivusto haltuunsa, mikäli onnistuu houkuttelemaan sivuston ylläpitäjän tietyllä tavalla muokatulle sivulle.

Tietoturvayhtiö Sucurin mukaan päivityksessä korjattua XSS-haavoittuvuuden hyväksikäyttöyrityksiä on havaittu verkossa jo useiden päivien ajan ennen päivityksen julkaisemista.

  • Palvelimet ja palvelinsovellukset
  • Työasemat ja loppukäyttäjäsovellukset
  • Verkon aktiivilaitteet
  • Matkaviestinjärjestelmät
  • Sulautetut järjestelmät
  • Muut

Kohde

  • Palvelimet ja palvelinsovellukset

Hyökkäystapa

  • Ilman kirjautumista
  • Etäkäyttö

Hyväksikäyttö

  • Komentojen mielivaltainen suorittaminen
  • Tietojen muokkaaminen

Ratkaisu

  • Korjaava ohjelmistopäivitys
  • Ongelman rajoittaminen

Haavoittuvat ohjelmistot:

  • Wordpress versiota 4.2.2 vanhemmat versiot

Ratkaisu- ja rajoitusmahdollisuudet:

Päivitä ohjelmisto valmistajan ohjeiden mukaisesti. Automaattisen päivitystoiminnon käyttö on suositeltua, mikäli mahdollista.

Ongelma on mahdollista korjata myös poistamalla tarpeeton tiedosto genericons/example.html.

Lisätietoa:

  • https://wordpress.org/news/2015/05/wordpress-4-2-2/
  • https://blog.sucuri.net/2015/05/jetpack-and-twentyfifteen-vulnerable-to-dom-based-xss.html

Päivityshistoria

  • 07.05.2015 klo 20:25
    Julkaistu
Haittaohjelma jumittaa tietokoneen, jos se huomataan Microsoftin päivitykset korjaavat 46 haavoittuvuutta