Jetpack 9.8 引入 WordPress Stories Block 以及强制安全更新
Jetpack 9.8 本周发布,将 WordPress 故事作为标题功能引入.允许用户创建交互式故事的故事块以前只能在移动设备上使用.现在可以在 Web 编辑器中使用它.Stories 于 2021 年 1 月在 Android 应用上进入公测阶段,并于 3 月在移动应用上正式发布.
9.8 版还包括一个适用于所有使用轮播功能的站点的安全补丁.该漏洞允许泄露未发布页面/帖子的评论.Jetpack 团队与 WordPress.org 合作发布了 78 个补丁版本,这已经足够严重了.自 2.0 以来的每个版本的 Jetpack.不使用 Carousel 功能的站点不会受到攻击,但如果启用并且未打补丁,将来可能会受到攻击.
WordPress.org 罕见地向所有易受攻击的版本推送了强制更新,这让禁用自动更新的用户感到惊讶.一些 Jetpack 用户在支持论坛上发帖,询问为什么该插件未经许可自动更新,在某些情况下还没有更新到最新版本.
所以这个更新是对 WordPress 网站的强制更新,即使有自动-更新被禁用?
我们昨晚凌晨 2 点在一个产品网站上发布了此内容,该网站出于非常具体的原因禁用了自动更新.
不酷的喷气背包.https://t.co/55upBmyeHp
—布拉德·威廉姆斯 (@williamsba) 2021 年 6 月 3 日
Jetpack 团队成员 Jeremy Herve 表示,该漏洞是通过 Hackerone 负责任地披露的,允许他们针对该问题开发补丁.准备就绪后,Jetpack 团队联系了 WordPress.org 安全团队,告知他们一个影响插件多个版本的漏洞.
“我们向他们发送了补丁以及我们拥有的所有信息(漏洞的 PoC、哪些功能必须处于活动状态、哪些版本的 Jetpack 受到影响),”赫维说.“他们建议我们也为旧版本的 Jetpack 发布点版本.
“我们创建了这些新版本,当我们准备发布它们时, WordPress.org 团队的某个人在 WordPress.org 方面进行了一些更改,以便人们运行旧的、易受攻击的插件版本会自动更新,就像它适用于 WordPress 的核心版本一样.”
Jetpack 团队成员 Brandon Kraft 估计,易受攻击的站点数量占插件活跃安装量的 18%.他说 Jetpack 没有参与关于推出强制更新的讨论.
我们没有参与讨论.提供了详细信息并得到了回应,但我不希望安全会议是公开的.但是,是的.单个功能受到影响.一些事情需要全部真实才能在网站上发挥作用,看起来大约有 18% 的网站符合 IIRC 要求.
—一个叫卡夫的家伙 ?? (@Kraft) 2021 年 6 月 3 日
“可能增加混淆的是 WordPress 5.5 为插件(和主题)自动更新添加了一个 UI,”赫维说.“该 UI 在帮助人们管理其站点上的插件自动更新的同时,与 Core 的强制更新过程略有不同.网站所有者可以停用这两种更新类型,就像可以停用核心的自动更新一样,但我不相信(老实说也不推荐)许多人停用这些更新.”
Brandon Kraft 深入研究了该主题并发表了一篇博文,解释了自动更新和强制更新之间的区别.如果您不想在将来收到任何强制更新,它包括如何锁定文件修改.然而,强制更新极其罕见,自 2013 年以来,卡夫只为 Jetpack 计算了三个.
在这种情况下,Jetpack 团队按照官方流程向插件和安全团队报告严重漏洞,他们会根据设定的标准确定对用户的影响.收到有关 Jetpack 自动更新的电子邮件通知的用户,尽管已将仪表板中的 UI 设置为禁用它们,但应注意,出于安全目的,这些强制更新可能会出现一次.
NOC 创始人兼 Sucuri 前首席执行官托尼·佩雷斯 (Tony Perez) 认为,强制执行这样的安全更新违反了用户的意图.在 WordPress 中使用自动更新 UI 时分配.他强调了如果系统容易受到不良行为者的攻击,就有可能被滥用.
“该平台正在做出一个积极的决定,这可以说与站点管理员明确表示他们不想要做某事时的意图背道而驰,”佩雷斯说.“说白了,这是 WordPress 用户和帮助维护项目的基金会之间存在的信任滥用.
“我的立场不是它不应该存在.这是一场更深入的意识形态辩论,但它是关于尊重管理员的明确意图.”
