Jetpack 9.8 est sorti cette semaine, introduisant WordPress Stories comme fonctionnalité principale. Le bloc Story, qui permet aux utilisateurs de créer des histoires interactives, n’était auparavant disponible que sur mobile. Il peut maintenant être utilisé dans l’éditeur Web. Les histoires sont entrées en version bêta publique sur l’application Android en janvier 2021 et ont été officiellement publiées sur les applications mobiles en mars.
La version 9.8 incluait également un correctif de sécurité pour tous les sites utilisant la fonction Carrousel. La vulnérabilité a permis la fuite des commentaires de pages/articles non publiés. C’était suffisamment grave pour que l’équipe Jetpack travaille avec WordPress.org pour publier 78 versions corrigées – chaque version de Jetpack depuis la 2.0. Les sites n’utilisant pas la fonctionnalité Carousel n’étaient pas vulnérables, mais pourraient l’être à l’avenir si elle était activée et non corrigée.
Dans un mouvement rare, WordPress.org a poussé une mise à jour forcée à toutes les versions vulnérables, surprenant ceux qui ont désactivé les mises à jour automatiques. Plusieurs utilisateurs de Jetpack ont posté dans les forums de support, demandant pourquoi le plugin s’était mis à jour automatiquement sans autorisation et dans certains cas pas vers la version la plus récente.
Jeremy Herve, membre de l’équipe Jetpack, a déclaré que la vulnérabilité avait été divulguée de manière responsable via Hackerone, leur permettant de travailler sur un correctif pour le problème. Une fois qu’il était prêt à fonctionner, l’équipe Jetpack a contacté l’équipe de sécurité de WordPress.org pour l’informer d’une vulnérabilité affectant plusieurs versions du plugin.
« Nous leur avons envoyé le correctif avec toutes les informations dont nous disposions (un PoC pour la vulnérabilité, quelles fonctionnalités devaient être actives, quelles versions de Jetpack ont été affectées) », a déclaré Hervé. «Ils nous ont recommandé de publier également des versions intermédiaires pour les anciennes versions de Jetpack.
« Nous avons créé ces nouvelles versions, et lorsque nous étions prêts à les publier, un membre de l’équipe de WordPress.org a apporté quelques modifications du côté de WordPress.org afin que les personnes exécutant d’anciennes versions vulnérables du plug-in soient automatiquement mises à jour, tout comme cela fonctionne pour les versions Core de WordPress.
Brandon Kraft, membre de l’équipe Jetpack, a estimé le nombre de sites vulnérables à 18% des installations actives du plugin. Il a déclaré que Jetpack ne faisait pas partie de la discussion sur la diffusion d’une mise à jour forcée.
💉
« Ce qui ajoute probablement à la confusion, c’est que WordPress 5.5 a ajouté une interface utilisateur pour les mises à jour automatiques des plugins (et des thèmes) », a déclaré Hervé. « Cette interface utilisateur, tout en aidant à gérer les mises à jour automatiques des plugins sur leur site, est un peu différente du processus de mise à jour forcée de Core. Ces deux types de mises à jour peuvent être désactivés par les propriétaires de sites, tout comme les mises à jour automatiques du noyau peuvent être désactivées, mais je ne pense pas (et je ne recommanderais honnêtement pas) que beaucoup de gens désactivent ces mises à jour.
Brandon Kraft a approfondi le sujet et a publié un article qui explique les différences entre les mises à jour automatiques et les mises à jour forcées. Il comprend comment verrouiller les modifications de fichiers si vous ne souhaitez plus recevoir de mises à jour forcées à l’avenir. Les mises à jour forcées sont cependant extrêmement rares, et Kraft n’en compte que trois pour Jetpack depuis 2013.
Dans ce cas, l’équipe Jetpack a suivi le processus officiel de signalement d’une vulnérabilité critique aux équipes de plugin et de sécurité qui déterminent l’impact pour les utilisateurs en fonction de critères définis. Les utilisateurs qui ont reçu une notification par e-mail concernant une mise à jour automatique de Jetpack, bien que l’interface utilisateur du tableau de bord soit configurée pour les désactiver, doivent savoir que ces mises à jour forcées peuvent arriver une fois dans une lune bleue pour des raisons de sécurité.
Tony Perez, fondateur de NOC et ancien PDG de Sucuri, affirme que forcer une mise à jour de sécurité comme celle-ci viole l’intention des utilisateurs lors de l’utilisation de l’interface utilisateur des mises à jour automatiques dans WordPress. Il a souligné le potentiel d’abus si le système devenait vulnérable à un mauvais acteur.
« La plate-forme prend une décision active qui est sans doute contraire à l’intention de l’administrateur du site lorsqu’il dit explicitement qu’il ne veut pas que quelque chose soit fait », a déclaré Perez. « En clair, c’est un abus de confiance qui existe entre l’utilisateur de WordPress et la Fondation qui aide à maintenir le projet.
« Ma position n’est pas que cela ne devrait pas exister. C’est un débat idéologique beaucoup plus profond, mais il s’agit de respecter l’intention explicite des administrateurs.
Comme ça :
J’aime le chargement.