WordPress empurra várias atualizações de segurança

Views: 370
0 0
Read Time:4 Minute, 49 Second

O WordPress estraga a correção crítica de segurança 5.5.2 e salva o rosto no dia seguinte com a atualização 5.5.3.

No dia seguinte ao WordPress ter lançado uma atualização crítica de segurança 5.5.2, corrigindo um bug de execução de código remoto e nove falhas adicionais,ele foi forçado a empurrar uma segunda atualização e, em seguida, uma terceira atualização 5.5.3.

O soluço está ligado ao recurso de atualização automática do WordPress que acidentalmente começou a enviar 455 milhões de sites uma atualização do WordPress (5.5.2) que fez com que novas instalações do WordPress falhassem. Depois de perceber o erro, ele colocou os freios no lançamento, e inadvertidamente acionou uma versão Alpha do WordPress para ser baixado para alguns clientes.

O problema foi corrigido rapidamente em 30 de outubro, mas não antes que os operadores do site WordPress relatasse que novas instalações do WordPress falhavam e outras gemendo sobre páginas de login de administração quebradas. O WordPress disse que uma atualização final do 5.5.3 já está disponível.

“O WordPress 5.5.2 causou um problema na instalação de pacotes ZIP disponíveis em WordPress.org para novas versões de 5.5.x, 5.4.x, 5.3.x, 5.2.x e 5.1.x.

O problema só afetou instalações novas do WordPress sem um arquivo wp-config.php existente no local”, disse a empresa.

De Mal a Pior

Em seguida, as coisas pioraram.

“Enquanto o trabalho estava sendo feito para se preparar para o WordPress 5.5.3, a equipe de lançamento tentou tornar 5.5.2 indisponíveis para download em WordPress.org para limitar a propagação do problema observado na seção acima, pois o erro só afetou novas instalações. Essa ação resultou em algumas instalações sendo atualizadas para uma versão ‘5.5.3-alpha’ de pré-lançamento”, escreveu a equipe do WordPress.

A atualização alfa causou mais preocupação do que problemas técnicos para os administradores do site. A versão não pronta para o horário nobre instalou os antigos temas padrão “Twenty” e o plugin “Akismet” como parte do pacote 5.5.2 alfa de pré-lançamento.

Os usuários do WordPress expressaram desânimo e confusão que os vários sites gerenciados começaram a exibir a mensagem “BETA TESTERS: Este site está configurado para instalar atualizações de futuras versões beta automaticamente” em seu console administrativo.

“Esses temas e plugins não foram ativados e, portanto, permanecem não funcionais, a menos que você os instalou anteriormente”, explicou wordpress. Ele explicou que a instalação do WordPress pode ser revertida para 5.5.2 visitando o painel de atualização (visitando Dashboard > Updates) e clicando no botão Re-instalar WordPress. “Isso receberá uma nova cópia do WordPress, mas não afetará seu conteúdo ou arquivos carregados.”

Embora a maioria dos clientes do WordPress, em geral, não tenha reportado nenhum problema técnico, vários usuários observaram anomalias inexplicáveis de configuração do WordPress. “Isso poderia ter mudado alguma coisa na configuração do servidor MySQL? Eu uso o Moodle no mesmo site que o WordPress e todos os meus sites Moodle estão recebendo um erro de gravação de banco de dados”, escreveu um usuário.

Atualização automática: Trust Tested

Os patches falhados destacam preocupações que os usuários têm em relação à falta de controle sobre o recurso de atualização automática do WordPress.

“Esta é mais uma lição sobre o quão poderoso é o mecanismo de atualização automática do WordPress. Centenas de milhões de sites se comportam como zumbis, fazendo o que a API de atualização automática errada diz para ele fazer”, escreveu Knut Sparhell no fórum WordPress.

Outro administrador do WordPress identificado como pcdeveloper apontou que: “Esta é uma séria preocupação de segurança, pois um desenvolvedor desonesto poderia empurrar um código malicioso em uma atualização que ninguém mais verifica…”

Sparhell expressou exasperação de que não havia uma maneira simples de ligar e desativar as atualizações automáticas do WordPress. “Isso é preocupante”, disse ele.

WordPress does allow users to disable auto-updates both for major or just minor maintenance and security updates. However, as Samuel Wood, a WordPress forum contributor, pointed out, “Now seems like a good time to document a correct and proper way of ‘stopping’ a release in progress.”

“Isso é na verdade uma característica do updater e resultado de uma tentativa incorreta de parar as atualizações enquanto a versão 5.5.3 estava sendo preparada”, escreveu Wood. “Basicamente, o ponto final da API de verificação de versão vai te contar sobre o último dia-a-noite… se ele acha que você já está executando uma versão noturna. Ele verifica que, de várias maneiras, um dos quais é comparando o que ele sabe ser a versão mais recente lançada com o que sua instalação relata sua versão.”

Outros desenvolvedores identificados como @paulstenning expressaram preocupação, afirmando: “Eu adicionei isso ao wp-config.php em todos os nossos sites por enquanto para evitar mais problemas durante o fim de semana definir (‘WP_AUTO_UPDATE_CORE’, falso ).”

Palavra Oficial do WordPress

Enquanto isso, o WordPress insta seus usuários a atualizar para a versão estável do WordPress 5.5.2.

“Esta versão de manutenção corrige um problema introduzido no WordPress 5.5.2 que torna impossível instalar o WordPress em um novo site que não tem uma conexão de banco de dados configurada. Essa versão não afeta sites onde uma conexão de banco de dados já está configurada, por exemplo, através de instaladores de um clique ou de um arquivo wp-config.php existente.”

Ele acrescentou: “Se você não estiver no 5.5.2 ou tiver atualizações automáticas para pequenas versões desativadas, atualize manualmente a versão 5.5.3 baixando o WordPress 5.5.3 ou visitando o Dashboard → Atualizações e clique em ‘Atualizar agora'”

FONTE: THREATPOST

POSTS RELACIONADOS