Wordpress: Une faille 0 Day comblée, Réactions à la publication du 28/04/2015 |
Bienvenue invité ( Connexion | Inscription )
Wordpress: Une faille 0 Day comblée, Réactions à la publication du 28/04/2015 |
28 Apr 2015, 06:32
Message
#1
|
|
BIDOUILLE Guru Groupe : Admin Messages : 55 348 Inscrit : 14 Jan 2001 Lieu : Paris Membre no 3 |
Hier, une faille 0 day dans Wordpress a été dévoilée. Elle permettait à distance de prendre le contrôle des sites et de les compromettre.
Un correctif de sécurité est déjà disponible et comble cette faille. Il est donc urgent à tous ceux qui ont un site utilisant Wordpress de le mettre à jour au plus vite. Wordpress, comme Flash ou Java est devenu une cible privilégiée des pirates cherchant des failles. Il risque d'y avoir pendant des mois des problèmes le temps que le code soit expurgé de ses défauts dévoilés presque quotidiennement. Lien vers le billet original -------------------- C'est parce que la vitesse de la lumière est plus grande que celle du son que tant de gens paraissent brillants avant d'avoir l'air con
|
|
|
28 Apr 2015, 06:42
Message
#2
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 6 021 Inscrit : 3 Oct 2004 Lieu : Aix en Provence (Bouches du Rhône) Membre no 24 606 |
Correctif envoyé hier en fin d’après-midi, mise à jour faite dans la foulée sur mon blog. Les mises à jour de sécurité s’appliquent automatiquement normalement.
-------------------- |
|
|
28 Apr 2015, 08:01
Message
#3
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 3 336 Inscrit : 1 Apr 2005 Membre no 36 376 |
Je confirme, il t'envoie un mail pour te prévenir qu'il s'est mis à jour.
-------------------- Je recherche un AS/400, iSeries, System i5, System i, des disques durs, des consoles, des câbles, des supports OS/400, i5/OS, IBM i, de la documentation, des licences, des cartes (réseau, twinax, etc.). En gros ce qui est lié à l'AS400 et dont vous/votre entreprise se débarrasse. Vous migrez de l'AS/400 vers une autre solution? Ne jetez plus votre AS/400, il fera des heureux.
|
|
|
28 Apr 2015, 08:11
Message
#4
|
|
Macbidouilleuse cryptomaniaque ! Groupe : Membres Messages : 4 087 Inscrit : 13 Oct 2005 Membre no 47 796 |
C'est pas inclus dans le code des templates utilisés ?
La mise à jour de mes sites s'est faite automatiquement, mais un mail de Wordpress disait qu'ils prévenaient les développeurs de template… Alors, faille comblée ou pas ? Ce message a été modifié par GhisDiem - 28 Apr 2015, 08:12. |
|
|
28 Apr 2015, 08:24
Message
#5
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 3 336 Inscrit : 1 Apr 2005 Membre no 36 376 |
Ah c'est curieux je viens de regarder le mail que j'ai reçu, il ne dit pas ça.
Dans mon cas c'est le blog lui-même qui a envoyé le mail. -------------------- Je recherche un AS/400, iSeries, System i5, System i, des disques durs, des consoles, des câbles, des supports OS/400, i5/OS, IBM i, de la documentation, des licences, des cartes (réseau, twinax, etc.). En gros ce qui est lié à l'AS400 et dont vous/votre entreprise se débarrasse. Vous migrez de l'AS/400 vers une autre solution? Ne jetez plus votre AS/400, il fera des heureux.
|
|
|
28 Apr 2015, 09:42
Message
#6
|
|
Macbidouilleur de vermeil ! Groupe : Membres Messages : 1 444 Inscrit : 30 Apr 2004 Membre no 18 255 |
la version francaise n'est pas dispo ?? (moi j'ai désactivé les MAJ auto, pour éviter d'avoir une incompatibilité avec une éventuelle extension, et que cela fasse le bordel sur le site)
-------------------- - Mac mini 2018 I7 16Go SSD 1To - Sonoma 14.2.1
- MBP Fin 2013 (11,3) I7 2,6Ghz 16Go SSD 240Go - Sonoma 14.2.1 "OpenCore Legacy Patcher" (SSD 1To défectueux - batterie gonflée (13 cyles)=devis Apple 1700€ environ * MAJ: MBP ressuscité avec: SSD 240Go & batterie Ifixit changé personnellement=210€ environ |
|
|
28 Apr 2015, 09:48
Message
#7
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 4 184 Inscrit : 13 Dec 2007 Membre no 102 454 |
Je confirme, il t'envoie un mail pour te prévenir qu'il s'est mis à jour. idem 2 sites ok, un 3eme à faire à la main sans raison apparente -------------------- MBP 2015 15" Core i7 2,2Ghz - 16Go de Ram
iMac early 2009 24" + MBA 2021 13" M1 Iphone 8 + XS 64Go |
|
|
28 Apr 2015, 09:51
Message
#8
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 3 336 Inscrit : 1 Apr 2005 Membre no 36 376 |
Peut-être ce dernier n'a-t-il pas le Jetpack?
-------------------- Je recherche un AS/400, iSeries, System i5, System i, des disques durs, des consoles, des câbles, des supports OS/400, i5/OS, IBM i, de la documentation, des licences, des cartes (réseau, twinax, etc.). En gros ce qui est lié à l'AS400 et dont vous/votre entreprise se débarrasse. Vous migrez de l'AS/400 vers une autre solution? Ne jetez plus votre AS/400, il fera des heureux.
|
|
|
28 Apr 2015, 10:04
Message
#9
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 4 687 Inscrit : 28 Nov 2001 Lieu : Pas loin du grand pic qu'on surnomme Tour Eiffel Membre no 1 440 |
Bonjour,
Quelqu'un sait me dire si la version 3.6 de Wordpress est vulnerable à cette faille? Je sais que ça date un peu, mais je dois utiliser cette version précise dans un projet utilisant une base de données PostgreSQL (et pas MySQL). Il y a un driver de conversion de code MySQL -> PostgreSQL testé et marchant bien sur cette version de Wordpress mais incompatible avec les versions plus récentes. Merci d'avance! -------------------- Mordu de Mac depuis 1996, avec un Performa 6230CD sous Mac OS 7.5.1. Depuis l'extinction de Steve Jobs, le logiciel libre se fait de plus en plus présent dans ma vie numérique.
|
|
|
28 Apr 2015, 10:22
Message
#10
|
|
Macbidouilleur de bronze ! Groupe : Membres Messages : 359 Inscrit : 25 Nov 2007 Membre no 100 877 |
la version francaise n'est pas dispo ?? (moi j'ai désactivé les MAJ auto, pour éviter d'avoir une incompatibilité avec une éventuelle extension, et que cela fasse le bordel sur le site) la version 4.2.1 est dispo en français aussi. Il suffit de se rendre sur Wordpress France -------------------- How far can too far go ?
(The Cramps, Coluche & moi) iMac 27", i5 3,7 GHz, 40Go ram, VCV Rack, Blender, Arturia V serie, Adobe CC, Eurorack modulaire, Behringer Model D, Behringer Neutron, MS20 mini, Arturia MiniBrute, Arturia Beatstep Pro, Arturia Keystep, DarkTime, Dark Energy II, Akai EIEpro, Oxygen8, iMac 24", PowerBook G4, Power Mac G4 Silver, PowerMac G3, Mac SE … |
|
|
28 Apr 2015, 12:09
Message
#11
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 15 385 Inscrit : 4 Jan 2006 Lieu : dtq Membre no 52 877 |
Je confirme, il t'envoie un mail pour te prévenir qu'il s'est mis à jour. idem 2 sites ok, un 3eme à faire à la main sans raison apparente De mon expérience et de ceux qui m'entourent, ceux qui exploitent les failles les comblent eux-même quand ils peuvent une fois qu'ils ont laissé leur payload et ouvert une porte dérobée Ne *PAS* faire confiance si quelque-chose ne se passe pas comme prévu, comme si le site ne se mettait pas à jour correctement ou que la faille ne soit plus présente alors qu'elle devrait l'être. De toute façon le système de commentaire de WordPress est dans le top 3 des problèmes avec /wp-login.php et /xmlrpc.php ... -------------------- Utilisateur de Mac depuis 1985 et possesseur de Mac depuis 2005. Utilisateur d'un PC Lenovo au travail, sous Windows, qui renforce ma passion pour les Mac!
|
|
|
28 Apr 2015, 12:11
Message
#12
|
|
Adepte de Macbidouille Groupe : Membres Messages : 154 Inscrit : 23 Apr 2015 Membre no 195 064 |
Encore une faille wordpress certains utilisateur ne feront pas la mise à jour donc des sites sont encore en danger ^^
|
|
|
28 Apr 2015, 12:41
Message
#13
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 4 184 Inscrit : 13 Dec 2007 Membre no 102 454 |
Je confirme, il t'envoie un mail pour te prévenir qu'il s'est mis à jour. idem 2 sites ok, un 3eme à faire à la main sans raison apparente De mon expérience et de ceux qui m'entourent, ceux qui exploitent les failles les comblent eux-même quand ils peuvent une fois qu'ils ont laissé leur payload et ouvert une porte dérobée Ne *PAS* faire confiance si quelque-chose ne se passe pas comme prévu, comme si le site ne se mettait pas à jour correctement ou que la faille ne soit plus présente alors qu'elle devrait l'être. De toute façon le système de commentaire de WordPress est dans le top 3 des problèmes avec /wp-login.php et /xmlrpc.php ... J'ai vérifié et c'est la précédente MAJ qui s'est faite en automatique, la dernière attendait ma validation. Donc au passage j'ai fais les mise à jour sur tous les sites que j'administre, et les commentaires ne sont ouvert que sur un seul site dans le lot, ça me donne moins de boulot -------------------- MBP 2015 15" Core i7 2,2Ghz - 16Go de Ram
iMac early 2009 24" + MBA 2021 13" M1 Iphone 8 + XS 64Go |
|
|
28 Apr 2015, 12:58
Message
#14
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 3 336 Inscrit : 1 Apr 2005 Membre no 36 376 |
Encore une faille wordpress certains utilisateur ne feront pas la mise à jour donc des sites sont encore en danger ^^ C'est la vie... -------------------- Je recherche un AS/400, iSeries, System i5, System i, des disques durs, des consoles, des câbles, des supports OS/400, i5/OS, IBM i, de la documentation, des licences, des cartes (réseau, twinax, etc.). En gros ce qui est lié à l'AS400 et dont vous/votre entreprise se débarrasse. Vous migrez de l'AS/400 vers une autre solution? Ne jetez plus votre AS/400, il fera des heureux.
|
|
|
28 Apr 2015, 16:38
Message
#15
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 4 969 Inscrit : 26 Jan 2011 Lieu : Pollachius virens Membre no 164 083 |
Sur un site en prod, la précaution minimale c'est d'avoir les fichiers versionnés (git, svn...). Sans ça impossible de repérer ce qui a été modifié à notre insu.
-------------------- MBP 2017 15" avec clavier pourri et touchbar inutile
|
|
|
28 Apr 2015, 16:40
Message
#16
|
|
Adepte de Macbidouille Groupe : Membres Messages : 154 Inscrit : 23 Apr 2015 Membre no 195 064 |
Sur wordpress il y a beaucoup de faille sortir
|
|
|
28 Apr 2015, 16:53
Message
#17
|
|
Macbidouilleur de vermeil ! Groupe : Membres Messages : 1 444 Inscrit : 30 Apr 2004 Membre no 18 255 |
la version francaise n'est pas dispo ?? (moi j'ai désactivé les MAJ auto, pour éviter d'avoir une incompatibilité avec une éventuelle extension, et que cela fasse le bordel sur le site) la version 4.2.1 est dispo en français aussi. Il suffit de se rendre sur Wordpress France -------------------- - Mac mini 2018 I7 16Go SSD 1To - Sonoma 14.2.1
- MBP Fin 2013 (11,3) I7 2,6Ghz 16Go SSD 240Go - Sonoma 14.2.1 "OpenCore Legacy Patcher" (SSD 1To défectueux - batterie gonflée (13 cyles)=devis Apple 1700€ environ * MAJ: MBP ressuscité avec: SSD 240Go & batterie Ifixit changé personnellement=210€ environ |
|
|
28 Apr 2015, 18:49
Message
#18
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 15 385 Inscrit : 4 Jan 2006 Lieu : dtq Membre no 52 877 |
Je confirme, il t'envoie un mail pour te prévenir qu'il s'est mis à jour. idem 2 sites ok, un 3eme à faire à la main sans raison apparente De mon expérience et de ceux qui m'entourent, ceux qui exploitent les failles les comblent eux-même quand ils peuvent une fois qu'ils ont laissé leur payload et ouvert une porte dérobée Ne *PAS* faire confiance si quelque-chose ne se passe pas comme prévu, comme si le site ne se mettait pas à jour correctement ou que la faille ne soit plus présente alors qu'elle devrait l'être. De toute façon le système de commentaire de WordPress est dans le top 3 des problèmes avec /wp-login.php et /xmlrpc.php ... J'ai vérifié et c'est la précédente MAJ qui s'est faite en automatique, la dernière attendait ma validation. Donc au passage j'ai fais les mise à jour sur tous les sites que j'administre, et les commentaires ne sont ouvert que sur un seul site dans le lot, ça me donne moins de boulot Moi j'ai coupé les commentaires sur mes blogs, de toute façon pour le crap qui s'accumulait dedans c'était inutile, et je dois en installer un pour ma moitié, et dans les conditions c'est: pas de theme acheté ou "trouvé", pas de plug-in, pas de commentaires, pas d'accès xml-rpc, et une procédure spéciale pour se connecter (évite d'etre attaqué tout le temps en attaque par force-brute sur wp-login!). Chiant mais ça me simplifie! -------------------- Utilisateur de Mac depuis 1985 et possesseur de Mac depuis 2005. Utilisateur d'un PC Lenovo au travail, sous Windows, qui renforce ma passion pour les Mac!
|
|
|
28 Apr 2015, 18:57
Message
#19
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 2 931 Inscrit : 16 Oct 2004 Lieu : Istres (13) Membre no 25 295 |
Je confirme, il t'envoie un mail pour te prévenir qu'il s'est mis à jour. idem 2 sites ok, un 3eme à faire à la main sans raison apparente De mon expérience et de ceux qui m'entourent, ceux qui exploitent les failles les comblent eux-même quand ils peuvent une fois qu'ils ont laissé leur payload et ouvert une porte dérobée Ne *PAS* faire confiance si quelque-chose ne se passe pas comme prévu, comme si le site ne se mettait pas à jour correctement ou que la faille ne soit plus présente alors qu'elle devrait l'être. De toute façon le système de commentaire de WordPress est dans le top 3 des problèmes avec /wp-login.php et /xmlrpc.php ... J'ai vérifié et c'est la précédente MAJ qui s'est faite en automatique, la dernière attendait ma validation. Donc au passage j'ai fais les mise à jour sur tous les sites que j'administre, et les commentaires ne sont ouvert que sur un seul site dans le lot, ça me donne moins de boulot Moi j'ai coupé les commentaires sur mes blogs, de toute façon pour le crap qui s'accumulait dedans c'était inutile, et je dois en installer un pour ma moitié, et dans les conditions c'est: pas de theme acheté ou "trouvé", pas de plug-in, pas de commentaires, pas d'accès xml-rpc, et une procédure spéciale pour se connecter (évite d'etre attaqué tout le temps en attaque par force-brute sur wp-login!). Chiant mais ça me simplifie! mouais, le mien vit sa vie sans soucis avec les commentaires ouverts et sans validation administrateur.. askimet me fait le ménage sans soucis. mais probable que ce site ne soit jamais lu/vu.. -------------------- Mon site photos de concert : Concerts en boite
|
|
|
28 Apr 2015, 20:55
Message
#20
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 2 966 Inscrit : 22 Apr 2003 Lieu : .be Membre no 7 233 |
[…] le top 3 des problèmes avec /wp-login.php et /xmlrpc.php ... Pour moi ce ne sont que des avantages : dans les logs d'un autre CMS je voyais tellement de tentatives concernant Wordpress et ses fichiers inexistants que j'ai mis en place un système pour bannir les bots qui tentent d'y avoir accès. C'est trop cool, les hackers se dénoncent eux-mêmes et s'éjectent automatiquement. Dingue quand je pense au temps perdu auparavant à les dénoncer à leurs hébergeurs. -------------------- Après Charlie : ne pas confondre « du plomb dans la tête » et « une mentalité de trou de balle ».
|
|
|
28 Apr 2015, 22:39
Message
#21
|
|
Macbidouilleur d'argent ! Groupe : Membres Messages : 582 Inscrit : 25 Jun 2003 Membre no 8 271 |
On est d'accord que ces failles ne concernent "que" les wordpress.org ? Sur mon blog Wordpress.com, j'ai cette notification:
"Akismet is protecting all WordPress.com sites against the Zero Day XSS vulnerability." |
|
|
28 Apr 2015, 23:41
Message
#22
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 15 385 Inscrit : 4 Jan 2006 Lieu : dtq Membre no 52 877 |
On est d'accord que ces failles ne concernent "que" les wordpress.org ? Sur mon blog Wordpress.com, j'ai cette notification: "Akismet is protecting all WordPress.com sites against the Zero Day XSS vulnerability." Cette faille concerne surtout ceux qui ne sont pas hébergés sur wordpress.org ou wordpress.com, ces deux sites et leur base de code étant très bien maintenu! WordPress s'utilise aussi en l'installant sur son propre serveur (ou pire un serveur mutualisé, à éviter absolument pour des raisons de sécurité!!!), et dans ce cas il est rarement bien maintenu, notamment lorsqu'on a modifié ou fait modifier un thême pour avoir une présentation "perso". […] le top 3 des problèmes avec /wp-login.php et /xmlrpc.php ... Pour moi ce ne sont que des avantages : dans les logs d'un autre CMS je voyais tellement de tentatives concernant Wordpress et ses fichiers inexistants que j'ai mis en place un système pour bannir les bots qui tentent d'y avoir accès. C'est trop cool, les hackers se dénoncent eux-mêmes et s'éjectent automatiquement. Dingue quand je pense au temps perdu auparavant à les dénoncer à leurs hébergeurs. J'ai fait des analyses de mes logs, pour ça que je protège wp-login et xmlrpc, et que je n'installe pas de plug-ins Il faudrait d'ailleurs que je fasse quelques articles là-dessus sur mon blog PHP! -------------------- Utilisateur de Mac depuis 1985 et possesseur de Mac depuis 2005. Utilisateur d'un PC Lenovo au travail, sous Windows, qui renforce ma passion pour les Mac!
|
|
|
29 Apr 2015, 05:40
Message
#23
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 2 966 Inscrit : 22 Apr 2003 Lieu : .be Membre no 7 233 |
[…] J'ai fait des analyses de mes logs, pour ça que je protège wp-login et xmlrpc, et que je n'installe pas de plug-ins Il faudrait d'ailleurs que je fasse quelques articles là-dessus sur mon blog PHP! Oui ben, les plugins sont vachement intéressants pour la sécurité justement. D'ailleurs, akismet c'est pas un plugin ? J'ai des plugin de chiffrement, anti brute force, anti injection, qui journalisent les intrus, etc. Sans ça, sans quelques bons .htaccess dans des dossiers stratégiques et sans quelques ficelles de configuration, autant ne pas tenter de faire un site. -------------------- Après Charlie : ne pas confondre « du plomb dans la tête » et « une mentalité de trou de balle ».
|
|
|
29 Apr 2015, 07:07
Message
#24
|
|
Macbidouilleuse cryptomaniaque ! Groupe : Membres Messages : 4 087 Inscrit : 13 Oct 2005 Membre no 47 796 |
Tiens, j'avais reçu plusieurs mail, un pour la mise à jour automatique et un de Wordpress qui prévenait de la vulnérabilité…
En fait, je me demande si ce n'est pas ThemForest qui m'a prévenue… Un des templates que j'utilise pour mon association vient de chez eux… Bref, en allant sur l'admin dudit site, encore une mise à jour de sécurité à faire… Donc, ne pas se contenter sur ce coup-ci de la mise à jour automatique… |
|
|
29 Apr 2015, 09:58
Message
#25
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 4 184 Inscrit : 13 Dec 2007 Membre no 102 454 |
Tiens, j'avais reçu plusieurs mail, un pour la mise à jour automatique et un de Wordpress qui prévenait de la vulnérabilité… En fait, je me demande si ce n'est pas ThemForest qui m'a prévenue… Un des templates que j'utilise pour mon association vient de chez eux… Bref, en allant sur l'admin dudit site, encore une mise à jour de sécurité à faire… Donc, ne pas se contenter sur ce coup-ci de la mise à jour automatique… J'ai reçu hier soir le mail de ThemForest ! -------------------- MBP 2015 15" Core i7 2,2Ghz - 16Go de Ram
iMac early 2009 24" + MBA 2021 13" M1 Iphone 8 + XS 64Go |
|
|
29 Apr 2015, 21:25
Message
#26
|
|
Macbidouilleur d'argent ! Groupe : Membres Messages : 582 Inscrit : 25 Jun 2003 Membre no 8 271 |
On est d'accord que ces failles ne concernent "que" les wordpress.org ? Sur mon blog Wordpress.com, j'ai cette notification: "Akismet is protecting all WordPress.com sites against the Zero Day XSS vulnerability." Cette faille concerne surtout ceux qui ne sont pas hébergés sur wordpress.org ou wordpress.com, ces deux sites et leur base de code étant très bien maintenu! WordPress s'utilise aussi en l'installant sur son propre serveur (ou pire un serveur mutualisé, à éviter absolument pour des raisons de sécurité!!!), et dans ce cas il est rarement bien maintenu, notamment lorsqu'on a modifié ou fait modifier un thême pour avoir une présentation "perso". Ok, merci pour tes explications ! |
|
|
Nous sommes le : 30th April 2024 - 14:06 |