Jetpack 9.8 представляет блок историй WordPress наряду с принудительным обновлением безопасности

На этой неделе был выпущен Jetpack 9.8 , в котором в качестве заголовка были представлены истории WordPress. Блок Story, который позволяет пользователям создавать интерактивные истории, ранее был доступен только на мобильных устройствах. Теперь его можно использовать в веб-редакторе. В январе 2021 года Stories вошли в публичную бета-версию приложения для Android , а в марте были официально выпущены в мобильных приложениях.

Версия 9.8 также включала исправление безопасности для всех сайтов, использующих функцию «Карусель».Эта уязвимость позволила утечь комментариям к неопубликованным страницам/постам. Для команды Jetpack было достаточно сложно работать с WordPress.org и выпустить 78 исправленных версий – каждую версию Jetpack, начиная с 2.0. Сайты, не использующие функцию карусели, не были уязвимыми, но могли быть уязвимыми в будущем, если бы она была включена и оставлена ​​без исправлений.

В редких случаях WordPress.org принудительно обновил все уязвимые версии, что удивило тех, у кого отключены автоматические обновления. Несколько пользователей Jetpack разместили сообщения на форумах поддержки, спрашивая, почему плагин обновился автоматически без разрешения, а в некоторых случаях не до последней версии.

Член команды Jetpack Джереми Эрве сказал, что уязвимость была ответственно раскрыта через Hackerone, что позволило им работать над исправлением проблемы. После того, как он был готов к работе, команда Jetpack связалась с командой безопасности WordPress.org, чтобы сообщить им об уязвимости, затрагивающей несколько версий плагина.

«Мы отправили им патч вместе со всей информацией, которая у нас была (PoC для уязвимости, какие функции должны были быть активными, какие версии Jetpack были затронуты)», – сказал Эрве. «Они рекомендовали нам выпустить точечные релизы и для более старых версий Jetpack.

«Мы создали эти новые выпуски, и когда мы были готовы их выпустить, кто-то из команды WordPress.org внес некоторые изменения на стороне WordPress.org, чтобы люди, использующие старые уязвимые версии плагина, обновлялись автоматически, как и он работает для основных версий WordPress ».

Член команды Jetpack Брэндон Крафт оценил количество уязвимых сайтов в 18% от активных установок плагина. Он сказал, что Jetpack не участвовал в обсуждении принудительного обновления.

«Что, вероятно, добавляет путаницы, так это то, что в WordPress 5.5 добавлен пользовательский интерфейс для автоматического обновления плагинов (и тем)», – сказал Эрве. «Этот пользовательский интерфейс, помогающий управлять автообновлениями плагинов на своем сайте, немного отличается от процесса принудительного обновления Core. Оба этих типа обновлений могут быть деактивированы владельцами сайтов, точно так же, как можно отключить автоматические обновления ядра, но я не верю (и, честно говоря, не рекомендую), чтобы многие люди деактивировали эти обновления ».

Брэндон Крафт углубился в тему и опубликовал сообщение, в котором объясняются различия между автоматическими и принудительными обновлениями. Он включает в себя, как заблокировать изменения файлов, если вы не хотите получать какие-либо принудительные обновления в будущем. Однако принудительные обновления чрезвычайно редки, и с 2013 года у Kraft есть только три для Jetpack.

В этом случае команда Jetpack следовала официальной процедуре для сообщения о критической уязвимости плагину и командам безопасности, которые определяют влияние на пользователей на основе установленных критериев. Пользователи, получившие уведомление по электронной почте об автоматическом обновлении от Jetpack, несмотря на то, что пользовательский  интерфейс на панели мониторинга, настроенный для их отключения, должен знать, что эти принудительные обновления могут появляться один раз в голубую луну в целях безопасности.

Тони Перес , основатель NOC и бывший генеральный директор Sucuri, утверждает, что принудительное обновление безопасности, подобное этому, нарушает намерения пользователей, назначенных при использовании пользовательского интерфейса автоматического обновления в WordPress. Он подчеркнул возможность злоупотреблений, если система станет уязвимой для злоумышленников.

«Платформа принимает активное решение, которое, возможно, противоречит тому, что намеревается администратором сайта, когда они прямо заявляют, что не хотят, чтобы что-то делалось», – сказал Перес. «Проще говоря, это злоупотребление доверием, которое существует между пользователем WordPress и Фондом, который помогает поддерживать проект.

«Моя позиция не в том, что этого не должно быть. Это гораздо более глубокая идеологическая дискуссия, но она касается уважения явных намерений администраторов ».