WordPress force la mise à jour de Jetpack pour protéger plusieurs millions de sites !

Certains sites WordPress vont recevoir une mise à jour automatique afin de corriger en urgence une faille de sécurité ! Celle-ci se situe dans une extension ultra populaire : Jetpack.

Pour les sites WordPress, l'extension Jetpack est un véritable couteau suisse puisqu'elle apporte des fonctionnalités diverses et variées, que ce soit pour améliorer les performances du site ou renforcer la sécurité. L'extension Jetpack compte plus de 5 millions d'installations actives alors forcément quand il y a une faille de sécurité critique, la situation est tendue. Derrière cette extension, on retrouve l'éditeur Automattic qui est lui-même derrière WordPress.

La faille de sécurité découverte dans Jetpack est présente dans l'extension depuis 2012, comme le précise Jeremy Herve de chez Automattic : "Lors d'un audit de sécurité interne, nous avons trouvé une vulnérabilité dans l'API disponible dans Jetpack depuis la version 2.0, publiée en 2012." - Pour le moment, il n'y a que très peu de détails publics donnés sur cette vulnérabilité : "Cette vulnérabilité pourrait être utilisée par les auteurs d'un site pour manipuler n'importe quel fichier de l'installation WordPress."

Les développeurs ont mis en ligne 102 nouvelles versions de Jetpack pour corriger cette vulnérabilité. En fait, ils ont mis en ligne un correctif de sécurité pour de très nombreuses versions vulnérables, ce qui donne ce total. Toutefois, sur votre site il n'y a bien qu'un seul patch à faire passer : ce qui permet de se protéger de cette vulnérabilité sans pour autant changer de version majeure du plugin.

Grâce au processus de mise à jour automatique, l'extension a déjà été mise à jour sur plus de 4 millions de sites en quelques heures. Mais si vous utilisez Jetpack, vérifiez l'état de l'extension par vous-même et effectuez la mise à jour si besoin. La liste des versions où la faille est corrigée est disponible dans le bulletin de sécurité de Jetpack (lien ci-dessus).

Pour le moment, cette faille de sécurité ne serait pas exploitée dans le cadre d'attaques. Toutefois, maintenant qu'elle est connue, la situation pourrait évoluer, alors patchez ! 🙂

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Florian BURNEL

Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

Nombre de posts de cet auteur : 5505.Voir tous les posts

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.