Már talán többen is észrevették, hogy az utóbbi időben megszaporodtak a feltört weboldalak.
Nyomozásunk során az alábbi tényeket tártuk fel:
Az érintett weboldalak többnyire WordPress, Joomla, Drupal és más keretrendszerekre épülő weboldalak.
Vannak olyan tört weboldalak is, amelyek akár egyedi fejlesztésűek is lehetnek, mégis feltörik, mert az alábbiakban leírt TinyMCE/FLV PLAYER komponenst tartalmazzák.
A TÖRÉSEK OKA:
Bizonyos bővítmények, melyek az FLV PLAYER komponenst is használják, mind sérülékennyé válnak és ezáltal felületet adnak rosszindulatú támadásoknak.
Minden jel arra mutat, hogy nem kifejezetten a TinyMCE-ben van a biztonsági rés, az csak közbenső szereplő és potenciális veszélyforrás, hanem az FLV PLAYER nevű kiegészítő/komponens okozza a tényleges problémát.
MEGOLDÁS:
Javasoljuk, hogy mindenki, aki FLV PLAYER komponenst használ a weboldalán, az haladéktalanul törölje le fizikailag is. Nem elég kikapcsolni (deaktiválni), fizikailag le kell törölni a tárhelyről!
Mivel ez egy nagyon bonyolult sérülékenység, amihez a TinyMCE is asszisztál, ha biztosra akarunk menni, a TinyMCE-t is töröljük le. Ezt sem elég kikapcsolni az admin felületeken, fizikailag ki kell törölni a TinyMCE mappáit a tárhelyről.
WORDPRESS, JOOMLA, DRUPAL STB.. frissítés megoldja-e ezt a problémát?
A tapasztaltuk szerint fontos, hogy legfrissebb verzió működjön a keretrendszerekből, de ezt a problémát a frissítés NEM oldja meg.
TinyMCE HELYETT:
A szakmai fórumokon a TinyMCE helyett a ckeditort (régebbi nevén fckeditort) ajánlják, mi is ezt ajánljuk, remélhetőleg az nem nyit rést a hozzá kapcsolódó kiegészítőknek.
WordPress esetén TinyMCE helyett a ckeditor plugint javasoljuk:
http://wordpress.org/extend/plugins/ckeditor-for-wordpress/
Joomla esetén itt található a ckeditor:
http://extensions.joomla.org/extensions/edition/editors/90
Drupal esetén itt:
http://drupal.org/project/ckeditor
A biztonsági résről részletesebb információ (angol nyelvű):
http://packetstormsecurity.org/files/107325/tinymceflvplayer-xssdisclose.txt