Wordpress sửa lỗi bảo mật cho phiên bản 5.5.2 và tung bản nâng cấp 5.5.3 ngay hôm sau
Một ngày sau khi Wordpress vá lỗ hổng bảo mật cho phép tin tặc thực thi mã từ xa và 9 lỗi bổ sung khác trên phiên bản 5.5.2, họ đã tiếp tục tung ra bản cập nhật thứ 2 và sau đó là bản cập nhật 5.5.3.
Theo Bizfly Cloud tìm hiểu sự cố liên quan đến tính năng tự động cập nhật Wordpress đã vô tình gửi cho 455 triệu trang web một bản cập nhật Wordpress 5.5.2 khiến các cài đặt mới không thành công. Sau khi phát hiện lỗi, nó đã chặn quá trình thiết lập và vô tình kích hoạt phiên bản Alpha của Wordpress bằng việc tạo bản tải xuống cho một số khách hàng.
Sự cố được khắc phục nhanh chóng vào ngày 30/10, trước khi kỹ sư công nghệ của Wordpress báo cáo các đặt mới không thành công và người dùng khác phát hiện ra các trang đăng nhập quản trị bị lỗi. Wordpress cho biết hiện đã có bản cập nhật 5.5.3 cuối cùng: "Wordpress 5.5.2 đã gây ra sự cố khi cài đặt các gói ZIP có sẵn trên Wordpess.org cho các phiên bản mới của 5.5.x, 5.4.x, 5.3.x, 5.2.x và 5.1.x. Sự cố chỉ ảnh hưởng đến các bản cài đặt mới mà không chứa tệp wp-config.php".
Vấn đề ngày càng tồi tệ
Trên thực tế, sự cố ngày càng trầm trọng:
"Trong khi các công việc nhằm chuẩn bị cho việc phát hành Wordpress 5.5.3, nhóm phát triển đã nỗ lực vô hiệu hóa tính năng tải xuống của bản 5.5.2 trên Wordpress.org để hạn chế sự lây lan của sự cố trên, vì lỗi chỉ ảnh hưởng đến các bản cài đặt mới. Việc này dẫn đến sự cố một số bản cài đặt được cập nhật lên phiên bản '5.5.3-alpha' trước khi phát hành." - Nhóm Wordpress thông báo
Bản cập nhật Alpha gây ra nhiều lo lắng hơn về vấn đề kỹ thuật cho quản trị viên trang web. Phiên bản này chưa sẵn sàng cho thời gian đầu đã cài đặt các theme "Twenty" mặc định cũ và plugin "Akismet" như một phần của gói 5.5.2-alpha trước khi phát hành."
Người dùng Wordpress không khỏi thất vọng và bối rối khi nhiều trang web mà họ quản lý hiển thị thông báo "BETA TESTERS: Trang web này được thiết lập để tự đồng cài đặt các bản cập nhật của các phiên bản beta trong tương lai" (BETA TESTERS: This site is setup to install updates of future beta versions automatically) trên bảng điều khiển quản trị.
"Các chủ đề và plugin này không được kích hoạt và do đó vẫn không hoạt động trừ khi bạn đã cài đặt chúng trước đó", Wordpress giải thích. "Cài đặt Wordpress có thể được hoàn nguyên về 5.5.2 bằng cách truy cập bảng cập nhật (truy cập Bảng Điều Khiển > Cập nhật) và nhấn nút Cài đặt để thiết lập lại cho Wordpress". "Điều này sẽ nhận được một bản sao mới của Wordpress, nhưng không ảnh hưởng đến nội dung hoặc các tệp đã tải lên."
Mặc dù hầu hết khách hàng của Wordpress không báo cáo bất kỳ thiệt hại nào liên quan, nhưng một số người dùng đã quan sát thấy những bất thường về cấu hình Wordpress. "Điều này có thể đã làm thay đổi cái gì đó trong cấu hình máy chủ MySQL? Tôi sử dụng Moodle trên cùng một trang với Wordpress và tất cả các trang Moodle của tôi đều gặp lỗi ghi cơ sở dữ liệu", một người dùng viết.
Tự động cập nhật: Đã được kiểm tra độ tin cậy
Sự cố lần này làm dấy lên những lo ngại của người dùng về tính thiếu kiểm soát đối với các tính năng tự động cập nhật của Wordpress.
"Đây là một bài học về cơ chế tự động cập nhật cho Wordpress. Hàng triệu trang web đã hoạt động như thây ma, tự động cập nhật bất cứ thứ gì mà API yêu cầu" - Knut Sparhell viết trong Forum Wordpress.
Một quản trị viên của Wordpress được xác định là pcdeveloper đã chỉ ra rằng: "Đây là một lỗi bảo mật nghiêm trọng vì tạo cơ hội cho kẻ giả mạo chèn mã độc trong một bản cập nhật mà không có ai kiểm triểm, phát hiện…"
Sparhell tỏ ra bực tức khi không có một cách đơn giản nào được thiết lập để bật/tắt tính năng tự động cập nhật Wordpress.
Thông báo chính thức từ Wordpress
Wordpress kêu gọi người dùng cập nhật lên phiên bản ổn định hơn của Wordpress 5.5.2
"Bản phát hành này khắc phục sự cố trong Wordpress 5.5.2 khiến người dùng không thể cài đặt Wordpress trên một trang web hoàn toàn mới mà không có cấu hình kết nối cơ sở dữ liệu. Bản phát hành không ảnh hưởng đến các trang web có kết nối cơ sở dữ liệu đã được định cấu hình, chẳng hạn qua thủ công hoặc tệp wp-config.php hiện có.
Nếu bạn không sử dụng phiên bản 5.5.2 hoặc tắt tự động cập nhật cho các bản phát hành lẻ, vui lòng cập nhật thủ công lên phiên bản 5.5.3 bằng cách tải xuống Wordpress 5.5.3 hoặc truy cập Dashboard → Updates và click 'Update Now'."
Theo Threatpost.com