Jetpack 9.8 è stato rilasciato questa settimana, introducendo WordPress Stories come caratteristica principale. Il blocco Storia, che consente agli utenti di creare storie interattive, in precedenza era disponibile solo su dispositivi mobili. Ora può essere utilizzato nell’editor web. Le storie sono andate in beta pubblica sull’app Android nel gennaio 2021, ed erano ufficialmente rilasciato sulle app mobili a marzo.
La versione 9.8 includeva anche una patch di sicurezza per tutti i siti che utilizzavano la funzione Carousel. Il vulnerabilità ha permesso che i commenti di pagine/post non pubblicati fossero trapelati. È stato abbastanza difficile per il team di Jetpack lavorare con WordPress.org per rilasciare 78 versioni con patch, ogni versione di Jetpack dalla 2.0. I siti che non utilizzano la funzione Carousel non erano vulnerabili, ma potrebbero esserlo in futuro se fosse stata abilitata e lasciata senza patch.
Con una mossa rara, WordPress.org ha spinto un aggiornamento forzato a tutte le versioni vulnerabili, sorprendendo coloro che hanno disabilitato gli aggiornamenti automatici. Diversi utenti di Jetpack hanno postato nei forum di supporto, chiedendo perché il plug-in avesse aggiornato automaticamente senza permesso e in alcuni casi non alla versione più recente.
Il membro del team Jetpack Jeremy Herve ha affermato che la vulnerabilità è stata divulgata in modo responsabile tramite Hackerone, consentendo loro di lavorare su una patch per il problema. Dopo che era pronto, il team Jetpack ha contattato il WordPress.org sicurezza per informarli di una vulnerabilità che interessa più versioni del plug-in.
“Abbiamo inviato loro la patch insieme a tutte le informazioni che avevamo (un PoC per la vulnerabilità, quali funzionalità dovevano essere attive, quali versioni di Jetpack erano interessate)”, ha affermato Herve. “Ci hanno consigliato di rilasciare versioni puntuali anche per le versioni precedenti di Jetpack.
“Abbiamo creato quelle nuove uscite e quando eravamo pronti a rilasciarle, qualcuno del WordPress.org la squadra ha apportato alcune modifiche al WordPress.org lato in modo che le persone che eseguono versioni vecchie e vulnerabili del plug-in vengano aggiornate automaticamente, proprio come funziona per le versioni Core di WordPress.
Brandon Kraft, membro del team Jetpack, ha stimato il numero di siti vulnerabili al 18% delle installazioni attive del plug-in. Ha detto che Jetpack non faceva parte della discussione sulla pubblicazione di un aggiornamento forzato.
“Ciò che probabilmente aggiunge confusione è che WordPress 5.5 ha aggiunto un’interfaccia utente per gli aggiornamenti automatici dei plugin (e dei temi)”, ha detto Hervé. “Quell’interfaccia utente, mentre aiuta a gestire gli aggiornamenti automatici dei plugin sul proprio sito, è un po’ diversa dal processo di aggiornamento forzato di Core. Entrambi questi tipi di aggiornamento possono essere disattivati dai proprietari dei siti, proprio come gli aggiornamenti automatici del core possono essere disattivati, ma non credo (e onestamente non lo consiglierei) che molte persone disattivino quegli aggiornamenti.
Brandon Kraft ha approfondito l’argomento e ha pubblicato a inviare che spiega le differenze tra aggiornamenti automatici e aggiornamenti forzati. Include come bloccare le modifiche ai file se non si desidera ricevere aggiornamenti forzati in futuro. Gli aggiornamenti forzati, tuttavia, sono estremamente rari e Kraft ne conta solo tre per Jetpack dal 2013.
In questo caso, il team Jetpack ha seguito il processo ufficiale per la segnalazione di una vulnerabilità critica al plugin e ai team di sicurezza che determinano l’impatto per gli utenti in base a criteri prestabiliti. Gli utenti che hanno ricevuto un’e-mail di notifica su un aggiornamento automatico da Jetpack, nonostante abbiano impostato l’interfaccia utente nella dashboard per disabilitarli, devono essere consapevoli che questi aggiornamenti forzati possono arrivare una volta ogni tanto per motivi di sicurezza.
Tony Perez, fondatore di NOC ed ex CEO di Sucuri, contende che forzare un aggiornamento di sicurezza come questo viola l’intento assegnato dagli utenti quando si utilizza l’interfaccia utente degli aggiornamenti automatici in WordPress. Ha evidenziato il potenziale di abuso se il sistema dovesse diventare vulnerabile a un cattivo attore.
“La piattaforma sta prendendo una decisione attiva che è probabilmente contraria a ciò che l’amministratore del sito intende quando afferma esplicitamente che non vuole che si faccia qualcosa”, ha detto Perez. “In parole povere, è un abuso di fiducia che esiste tra l’utente di WordPress e la Fondazione che aiuta a mantenere il progetto.
“La mia posizione non è che non dovrebbe esistere. È un dibattito ideologico molto più profondo, ma si tratta di rispettare un intento esplicito degli amministratori».