Šta je Novo?
  • Ebu Hurejre r.a. prenosi da je Allahov Poslanik s.a.v.s. rekao: Kada je Allah Stvorio Stvorenja u Knjizi koja je kod Njega, obavezao se! “Uistinu Moja milost preteže nad Mojom srdžbom”. Bilježe Muslim, Buhari, Nesai i Ibn Madždže.
  • Ebu Hurejre r.a. prenosi da je Allahov Poslanik s.a.v.s. rekao: "Uzvišeni Allah kaže: Ja sam Sebi dovoljan i ne treba Mi drug. Ko ucini neko djelo u ime nekog osim Mene, Ja cu ga prepustiti tome drugom." Muslim (i Ibn Madždže).
  • Ebu Hurejre r.a. prenosi da je Allahov Poslanik s.a.v.s. rekao: "Uzvišeni Allah je rekao: Ponos je Moja odjeca, a velicina Moj ogrtac! Bacit cu u vatru onoga ko Mi se bilo kojem od njih suprostavi." Bilježe Ebu Davud (Ahmed i Ibn Madždže, sahih hadis).
  • Ebu Hurejre r.a. prenosi da je Allahov Poslanik s.a.v.s. rekao: "Na Sudnjem Danu ce Allah reci: Gdje su oni što su se voljeli u Ime Moje Uzvišenosti? Danas cu ih uvesti u Moj hlad, kada nema drugog hlada osim Moga!" Bilježe Buhari (i Malik).
  • Ebu Hurejre r.a. prenosi da je Allahov Poslanik s.a.v.s. rekao: "Uzvišeni Allah je rekao: Ponos je Moja odjeca, a velicina Moj ogrtac! Bacit cu u vatru onoga ko Mi se bilo kojem od njih suprostavi." Bilježe Ebu Davud (Ahmed i Ibn Madždže, sahih hadis).
Loginizer Premium - WordPress Plugin

Prodavnica Loginizer Premium - WordPress Plugin [v1.8.6]

Nema dozvole za preuzimanje
Error Down
Utvrđeno je da Loginizer, popularni dodatak za zaštitu WordPress blogova od napada grube sile, sadrži svoje ozbiljne ranjivosti koje bi hakeri mogli iskoristiti. Greška, koju je otkrio istraživač ranjivosti Slavco Mihajloski, otvorila je mogućnosti sajber kriminalcima da u potpunosti kompromituju WordPress sajtove. Greška se može iskoristiti ako se korisnik pokuša prijaviti na web stranicu zaštićenu Loginizer-om s pažljivo izrađenim korisničkim imenom.

Ranjive verzije Loginizer-a nisu ispravno potvrdile i dezinficirale korisničko ime kako bi spriječile SQL injekciju i napade skriptiranja među stranicama (XSS). Prijetnja je bila značajna, a postala je još ozbiljnija zbog činjenice da preko milion stranica koristi dodatak Loginizer – vjerujući da štiti njihove web stranice od napada.

I to je, čini se, ono što je motivisalo WordPress da pokrene prinudno ažuriranje dodatka na sajtovima trećih strana sa ranjivim ranijim verzijama - čak i ako administratori nisu tražili od dodatka da instalira automatska ažuriranja. WordPress ima mogućnost prisiljavanja ažuriranja na web stranice trećih strana od verzije 3.7 platforme za blogovanje, ali to je funkcija koja se rijetko viđala u akciji. To prisilno ažuriranje je, razumljivo, dovelo do ogromnog porasta preuzimanja fiksne verzije dodatka Loginizer.

Iako bi većina tvrdila da je takva odluka bila dobra sa sigurnosne tačke gledišta, nema sumnje da će neki biti zabrinuti da su bezlični tehničari na wordpress.org u stanju da prisile instalaciju koda na stranice trećih strana. Na kraju krajeva, šta ako bezbednosno ažuriranje za dodatak, nametnuto sajtu bez znanja i dozvole sajta, neočekivano uvede kritičnu grešku ili nekompatibilnost? Administrator Wordpress.org Samuel Wood odgovorio je na nit podrške za Loginizer u kojoj su se korisnici pitali kako je njihov dodatak za instalaciju ažuriran bez njihove dozvole:

"WordPress.org ima mogućnost uključivanja automatskih ažuriranja za sigurnosne probleme u dodacima. Ima od WP 3.7 i koristili smo ga za sigurnosna izdanja dodataka mnogo puta."

Ako vaša web lokacija koja pokreće WordPress pokreće Loginizer i već nije ažurirana na verziju 1.6.4 dodatka, preporučujem da to učinite odmah. Mačka je izašla iz vreće i možda postoje zlonamjerni hakeri koji istražuju kako bi mogli istražiti propust na bilo kojoj stranici koja je prošla zakrpu. Kod za dokaz koncepta koji demonstrira grešku planirano je da bude objavljen 4. novembra 2020. Do tada će, nadamo se, sve stranice koje pokreću Loginizer pokretati verziju koja ima zakrpljenu ranjivost.

Loginizer Premium - WordPress Security

Ugotovljeno je bilo, da Loginizer, priljubljen vtičnik za zaščito spletnih dnevnikov WordPress pred napadi s surovo silo, vsebuje lastne resne ranljivosti, ki bi jih lahko izkoristili hekerji. Napaka, ki jo je odkril raziskovalec ranljivosti Slavco Mihajloski, je spletnim kriminalcem odprla priložnosti, da popolnoma ogrozijo spletna mesta WordPress. Napako je mogoče izkoristiti, če se uporabnik poskuša prijaviti na spletno stran, zaščiteno z Loginizerjem, s skrbno oblikovanim uporabniškim imenom.

Ranljive različice programa Loginizer niso pravilno preverile in očistile uporabniškega imena, da bi preprečile napade z vstavljanjem SQL in skriptiranjem na več mestih (XSS). Grožnja je bila velika, še resnejša pa jo je naredilo dejstvo, da več kot milijon spletnih mest uporablja vtičnik Loginizer – verjamejo, da ščiti njihova spletna mesta pred napadi.

In zdi se, da je to tisto, kar je spodbudilo WordPress, da je sprožil prisilno posodobitev vtičnika na spletnih mestih tretjih oseb z ranljivimi prejšnjimi različicami – tudi če skrbniki niso zahtevali od vtičnika namestitve samodejnih posodobitev. WordPress ima možnost vsiljevanja posodobitev spletnih mest tretjih oseb od različice 3.7 platforme za bloganje, vendar je to funkcija, ki je bila le redko vidna v akciji. Ta vsiljena posodobitev je razumljivo povzročila velik porast prenosov fiksne različice vtičnika Loginizer.

Medtem ko bi večina trdila, da je bila takšna odločitev dobra z varnostnega vidika, bodo nedvomno nekateri zaskrbljeni, da lahko brezlični tehniki na wordpress.org vsilijo namestitev kode na spletnih mestih tretjih oseb. Konec koncev, kaj če varnostna posodobitev za vtičnik, potisnjena na mesto brez vednosti in dovoljenja mesta, nepričakovano povzroči kritično napako ali nezdružljivost? Skrbnik Wordpress.org Samuel Wood je odgovoril na nit podpore za Loginizer, kjer so se uporabniki spraševali, kako je bil njihov namestitveni vtičnik posodobljen brez njihovega dovoljenja:

"WordPress.org ima možnost vklopa samodejnih posodobitev za varnostne težave vtičnikov. To ima od WP 3.7 in že večkrat smo ga uporabili za varnostne izdaje vtičnikov."

Če vaše spletno mesto, ki ga poganja WordPress, uporablja Loginizer in še ni posodobilo vtičnika na različico 1.6.4, priporočam, da to storite zdaj. Maček je iz vreče in morda zlonamerni hekerji preiskujejo, da lahko raziščejo ranljivost na katerem koli spletnem mestu, ki je prestalo popravek. Koda za dokaz koncepta, ki prikazuje napako, naj bi bila izdana 4. novembra 2020. Upajmo, da bodo do takrat vsa spletna mesta, na katerih se izvaja Loginizer, izvajala različico, ki ima popravljeno ranljivost.​

Slični Resursi

Actions Pack | Premium For Elementor Boots
0.00 star(s) 0 ocjena
Preuzimanja
0
Ažurirano
Astra Premium - WordPress Plugin Boots
0.00 star(s) 0 ocjena
Ažurirano
Astra Premium Starter Templates Boots
0.00 star(s) 0 ocjena
Ažurirano
Brave Premium - WordPress Plugin Boots
0.00 star(s) 0 ocjena
Ažurirano
Google ads alanı
Nazad
Top Bottom