Problém není aktuálně ve WordPressu, ale jedná se o poměrně závažný problém, který může ovlivnit i weby, na WordPressu běžící.
Před několika dny, byla zveřejněna zranitelnost knihovny ImageMagick, které může ovlivnit všechny WordPress weby, které hostují na serverech s nainstalovanou knihovnou. Pokud máte možnost ovlivnit nastavení serveru, měli by jste učinit potřebné kroky.
Celkový dopad tohoto problému není znám, ale existuje několik kroků , které můžete učinit.
Jak budou ovlivněny WordPress weby?
Všechny mediální soubory, obsahující škodlivá data, nahrána do administrace, mohou vytvářet exploity, právě pomocí knihovny ImageMagick. Což se týká všech uživatelů s oprávněním upload_files. V základu to jsou autoři, editoři a administrátoři.
Problém se však nevyskytuje ve WordPressu, ale v knihovně a proto by jste měli komunikovat především s poskytovatelem vašeho hostingu. Poskytovatel by se měl zaměřit především na ImageTragick (CVE-2016-3714, CVE-2016-3718 a CVE-2016-3715) exploit.
Jak poznám, že je můj web zranitelný?
Problém mají pouze weby, jejichž PHP obsahuje rozšíření PHP Imagick. Jak zjistíte, že máte knihovnu nainstalovánu?
- Zavolejte v kódu nějaké stránky funkci
phpinfo()
a hledejte “Imagick”. Spusťte příkaz php -m | grep imagick
v příkazové řádce.- Nainstalujte PHP Info WordPress plugin, a hledejte “Imagick”.
Jak mohu odstranit tento problém?
Aktuálně nejlepší známé řešení, je přidat soubor policy.xml do vaší ImageMagick instalace, k omezení toho, kdo může knihovnu používat. Potřebné informace najdete na https://imagetragick.com/
ImageMagick 6.9.3-10
Image Magick vydal 3.5. 2016 update s opravou, ale není zatím známo, za oprava byla schopna pokrýt celý rozsah problému, nakolik tento rozsah není znát. Měli by jste předpokládat, že tomu tak není a použít řešení ve formě privacy.xml souboru.
Další informace
Více informací najdete na imagetragick.com, kde budou zveřejňovány všechny důležité aktuality.
Dokumentaci k použití souboru policy.xml najdete na https://www.imagemagick.org/script/resources.php
Článek byl volně přeložen z https://make.wordpress.org/core/2016/05/06/imagemagick-vulnerability-information/
Musildo, fajn, ale nepíše se „by jste“, ale „byste“ – nevypadá to tak, ale je to podle pravidel pravopisu správně. Trochu mě to bije do očí. Jinak dík za informace.