ICS Security Fixes: попытка сделать старые версии WordPress безопаснее

Исправление уязвимостей в прошлых версиях WordPress

WordPress, как и любой другой программный продукт подобного размера, содержит ошибки, в том числе и уязвимости. Когда разработчики находят эти ошибки, они их исправляют. Но иногда бывает и так, что уязвимость, найденная в текущей ветке WordPress, существует и в прошлых версиях. К сожалению, разработчики не делают бэкпорты исправлений в старые ветки, поэтому те, кто остаются на старых версиях WordPress, остаются уязвимыми.

Казалось бы, что проще: WordPress предоставляет возможность обновиться буквально в пару кликов мыши. Но есть одно очень большое НО: новые релизы WordPress обрастают функционалом, который может быть не нужен; как следствие, они потребляют больше системных ресурсов (k0tello приводит весьма интересные цифры). Вследствие чего обновление версии WordPress может потребовать более дорогой хостинг, что не для всех является приемлемым.

Цели плагина ICS Security Fixes — исправление известных уязвимостей при максимальной совместимость с предыдущими версиями WordPress.

Однако стоит отметить, что при помощи плагина все уязвимости исправить невозможно: например, уязвимость в KSES в WordPress 3.0.3 или уязвимость в Snoopy на FreeBSD не могут быть исправлены без исправления кода. Тем не менее, фильтрация параметров запросов и исправление запросов к базе данных плагину в большинстве случаев по силам.

История изменений

Версия 0.4

• Закрытие уязвимостей, исправленных в WordPress 3.0.5 (r17393, r17387, r17400, r17406).

Версия 0.3

• Исправление ошибок в предыдущих версиях (спасибо Сергею Бирюкову за патч);
• Сокрытие версий используемых таблиц стилей и скриптов (удаление параметра ver из строки запроса; кстати, Google рекомендует не использовать строку запроса в URL статических ресурсов);
• Частично закрыта уязвимость SA23621 — пользователь получает одно и то же сообщение об ошибке и при неверном имени пользователя, и при неверном пароле. Тем не менее, проверка существования пользователя возможна путём использования функции напоминания пароля;
• По многочисленным просьбам добавлено сокрытие версии плагина All in One SEO Pack.

Версия 0.2

• Исправление ошибок, связанных с активацией плагина;
• Установка версии по умолчанию для скриптов и таблиц стилей в 0.0.

Версия 0.1

• отключение whitelisting’а для трэкбэков/пингбэков (то, что было сделано в 3.0.2 и тянется с 1.x);
• попытка борьбы с SQL truncation attack при регистрации пользователя;
• исправления, призванные не допустить SQL injection attack при обработке трэкбэков;
• исправление CVE-2008-4769;
• Old slug redirect bug fix;
• Попытка исправления ошибки cURL, связанной с перенаправлением на URI с протоколами file:// и scp:// (трудно сказать про работоспособность, ибо такой древний cURL найти трудно);
• Исправление SQL injection в wp_insert_attachment();
• Тупой способ для борьбы с подменой фидов;
• Защита от атаки на генератор псевдослучайных чисел (надеюсь, что получилось — сгенерировать 80-гигабайтные радужные таблицы нет возможности);
• Попытка защиты от 2.7.x/2.8.x admin remote code execution exploit;
• Исправление Wordpress 2.5 Cookie Integrity Protection Vulnerability;
• Исправление ошибки со сбросом пароля в 2.5.1.

Дальнейшее направление работы

• Бэкпортирование патчей уязвимостей для серии 3.x;
• Бэкпортирование патчей и закрытие незакрытых уязвимостей для серии 2.x.

Домашняя страница ICS Security Fixes на wordpress.org.

Автор: Vladimir;