流行的插件jQuery已经公开了三年

[ CSDN编辑器的注释]作为GitHub平台上仅次于jQuery框架本身的第二个最流行的jQuery项目,流行的插件jQuery文件上传已经集成到数千个项目中。然而,最近发现有一个严重的“零日漏洞”,黑客已经用它来控制易受攻击的web服务器长达三年。虽然开发人员目前已经修复了该漏洞,但是据统计,从原始jQuery文件上传插件派生的所有项目中,只有36个没有漏洞。因此,修复后续平台项目的安全性需要很长时间。

以下是翻译:

根据外国媒体ZDNet最近的一份报告,最流行的jQuery插件jQuery文件上传有一个零日漏洞,黑客可以利用这个漏洞植入黑客脚本并控制易受攻击的服务器。这个插件是由德国天才开发者塞巴斯蒂安·陈编写的,在Github上也被称为蓝色小鬼( https://github.com/blueimp )。

jQuery文件上传插件漏洞极具破坏性

据报道,该插件目前在Github最受欢迎的jQuery项目中排名第二,仅次于jQuery框架本身。这个脚本非常受公众欢迎,已经下载了7800多次,并且已经集成到数百甚至数千个其他项目中,比如CMSS、CRMS、内部网解决方案、WordPress插件、Drupal插件、Joomla组件等等。

今年早些时候,Akamai安全情报响应小组的安全研究员拉里·卡什·多利发现了插件源代码中的一个漏洞,该插件负责将文件上传到PHP服务器。cash Dollar表示,攻击者可能会滥用该漏洞向服务器上传恶意文件,例如打开后门和植入黑客脚本。因此,该漏洞极具破坏性,它将打破安装相关插件的许多平台上的安全漏洞。更糟糕的是,影响还在继续。

报告还说,这个漏洞被广泛利用。现金美元在接受ZDNet采访时也提到:“早在2016年我就看到了这些东西。“他之前发现了几个YouTube视频,详细说明了如何利用jQuery文件上传插件的漏洞来控制服务器。甚至在2015年8月也有一个创建日期——看起来甚至在2016年之前就已经被大量使用了。

根据这张地图,可以认为这对于信息安全界来说仍然是一个漏洞百出的谜,这可能是黑客世界中的一个著名事件。

可以理解,jQuery文件上传9 . 22 . 1之前的所有版本都存在此漏洞,并且由于此漏洞影响PHP应用程序文件上传的代码,因此用其他语言实现的服务器端应该是安全的。

该漏洞源于Apache HTTPD服务器2010年版本的更改

本月早些时候,现金美元报告了蓝精灵零日脆弱性,蓝精灵也迅速调查了该报告。“现在我们正努力让尽可能多的人知道这个漏洞。本月早些时候,该漏洞被命名为CVE - 2018 - 9206,这也正式吸引了更多关注。

开发人员Sebastian TS Chan通过调查发现,漏洞的真正来源不在插件代码中,而是Apache Web server在2010年所做的更改,这间接影响了Apache server上插件的预期行为。

这个问题可以追溯到2010年11月23日,就在Blue IMP发布第一版插件的前五天。Apache基金会当天发布了Apache HTTPD服务器2 . 3 . 9版。

这个版本没有什么特别之处,但是它包含了安全性的重大变化。从这个版本开始,Apache httpd服务器添加了一个选项,允许服务器所有者忽略由所做的自定义安全设置。各种文件夹的htaccess文件-此设置是出于安全原因创建的,默认情况下是启用的,并且在Apache httpd服务器的所有后续版本中保持不变。然而,Blue IMP的jQuery文件上传插件依赖于一个客户。htaccess文件在编码时对其上传文件夹施加安全限制,但预计Apache httpd团队不会做出破坏插件基本设计的重大改变。

cash Dollar在最近发布的一份报告中表示:“互联网每天都依赖许多安全控制措施来确保我们的系统、数据和交易的安全性和可靠性。如果其中一个控件突然不存在,不可避免地会让依赖这些控件的用户和软件开发人员在不知情的情况下面临安全风险。"

后续漏洞修复工作将是艰巨的

自从Blue IMP报告了他的发现后,现金美元一直在花时间研究漏洞的范围。他做的第一件事是查看Github上所有其他源自原始插件的分支。

cash Dollar说,“我检查了Github上7800个插件中的1000个,发现它们都有漏洞。“他测试的代码和实际缺陷概念的证明在Github上共享( https://github.com/lcashdol/Exploits/tree/master/CVE - 2018 - 9206 )。迄今为止的测试发现,从原始jQuery文件上传插件派生的所有项目中,只有36个不存在该漏洞。

“但是对Github分公司的调查只是第一步。我们还有很多工作要做,因为还有许多项目没有经过测试。“研究人员已经通知了US - CERT这个漏洞及其可能的影响。cash Dollar表示,下一步是向Github寻求帮助,并通知所有使用该插件的项目所有者。例如,Taj er,这是一个WordPress插件,Cash Dollar已经确认该插件有这个漏洞。这个插件的下载次数很少。目前,WordPress插件的官方代码库已经被删除,无法再下载。

找到所有受影响的项目并完全修复漏洞可能需要数年时间。历史经验证明,漏洞通常会持续很长时间,特别是在复杂项目中根深蒂固的插件漏洞,如CRMS、CMSS、博客平台或企业解决方案。

The original popular zero day - jQuery - Plugin - has been actively developing for at least three years / author: Zdenetegaselin Simpannu security reporter, responsible for network security, data disclosure, hacking and other topics. He was a security reporter for beeping computers and soft pediatrics. Translator: meniscus, responsibility: Guo Rui

微信已经被修改了。

如果你想快速阅读CSDN的热门文章,

让我们快速将CSDN公共号码设置为星号。

打开公共号码,点击“设置为星号”继续!

"

草稿已经收集好了。"

CSDN Public Number坚持“与数百万技术专家一起成长”的概念,不仅用“极客头条”和“自由交谈”栏目从技术专家的独特视角描述了技术专家关注的行业焦点事件,还用“技术头条”栏目深入解释了行业中流行的技术和场景应用,以便所有开发人员都能跟上技术趋势,保持对技术气味的警惕,并对行业趋势和技术有更全面的了解。

如果你有高质量的文章,或者对行业热点事件和技术趋势的见解,或者对深入应用实践和场景计划的新见解,请联系CSDN提交。联系方式:微信(郭蕊_ 1118,请注意提交+姓名+公司职位),邮箱( guorui@csdn.net )。

  • 发表于:
  • 原文链接:https://kuaibao.qq.com/s/20181025A16CW800?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。

扫码关注云+社区

领取腾讯云代金券