Jetpack 9.8引入Stories区块以及强制安全更新

Jetpack 9.8于本周发布，将WordPress Stories作为标题功能引入。允许用户创建交互式故事的区块以前只能在移动设备上使用，现在可以在Web编辑器中使用。Stories于2021年1月在 Android 应用程序上进入公测阶段，并于3月在移动应用程序上正式发布。

9.8 版还包括一个适用于所有使用轮播功能的站点的安全补丁。该漏洞允许泄露未发布页面/文章的评论。Jetpack团队与WordPress.org合作发布了 78 个补丁版本——Jetpack 2.0以来的每个版本，这已经足够严重了。不使用Carousel功能的站点不会受到攻击，但如果启用并且未打补丁，将来可能会受到攻击。

WordPress.org罕见地向所有易受攻击的Jetpack版本推送了强制更新，这让禁用自动更新的人感到惊讶。一些Jetpack用户在支持论坛上发帖，询问为什么该插件未经许可自动更新，并且在某些情况下没有更新到最新版本。

因此，即使禁用了自动更新，此更新也是WordPress网站上的强制更新？

昨晚凌晨 2 点，我们在一个prod站点上启用了此功能，该站点出于非常具体的原因禁用了自动更新。

— 布拉德·威廉姆斯 (@williamsba) ，2021 年 6 月 3 日

Jetpack团队成员Jeremy Herve表示，该漏洞是通过Hackerone负责任地披露的，允许他们针对该问题开发补丁。准备就绪后，Jetpack团队联系了WordPress.org安全团队，告知他们一个影响插件多个版本的漏洞。

“我们向他们发送了补丁以及我们拥有的所有信息（漏洞的PoC、哪些功能必须处于活动状态、哪些版本的Jetpack受到影响），”Herve说。“他们建议我们也为旧版本的Jetpack发布版本。

“我们创建了那些新的版本，当我们准备发布它们时，WordPress.org团队中的某个人在WordPress.org方面做了一些更改，这样运行旧的易受攻击版本插件的人就会得到自动更新，就像它对WordPress的核心版本起作用一样。。”

Jetpack团队成员Brandon Kraft估计，易受攻击的站点数量占该插件活跃安装的18%。他说Jetpack不是关于推出强制更新的讨论的一部分。

我们没有参与讨论。提供了详细信息并得到了回应，但我不希望安全会议是公开的。但是，是的。单个功能受到影响。一些事情需要全部真实才能在网站上发挥作用，这看起来像是合格的网站IIRC的 18%。

– 一个叫卡夫的人(@Kraft) 2021 年 6 月 3 日

“更令人困惑的是WordPress 5.5为插件（和主题）自动更新添加了一个UI，” Herve说。“该UI在帮助人们管理其网站上的插件自动更新的同时，与Core的强制更新过程略有不同。网站所有者可以停用这两种更新类型，就像可以停用core的自动更新一样，但我不相信（老实说也不建议）许多人停用这些更新。”

Brandon Kraft深入研究了该主题并发表了一篇文章，解释了自动更新和强制更新之间的区别。如果您不想在将来收到任何强制更新，它包括如何锁定文件修改。然而，强制更新极为罕见，自2013年以来，Kraft算到Jetpack只有3个强制更新。

在这种情况下，Jetpack团队遵循官方流程向插件和安全团队报告关键漏洞，他们根据设定的标准确定对用户的影响。

在这种情况下，Jetpack团队遵循了“向插件和安全团队（根据一套标准来判断对用户的影响）报告严重漏洞”的官方流程。收到有关Jetpack自动更新的电子邮件通知的用户，尽管已将仪表板中的UI设置为禁用它们，但应注意，出于安全目的，这些强制更新可能会出现一次。

NOC的创始人兼Sucuri的前首席执行官Tony Perez，认为在WordPress中使用自动更新UI时，强制执行这样的安全更新违反了用户的意图。他强调了如果系统容易受到不良行为者的攻击，就有可能被滥用。

“该平台正在做出一个积极的决定，当他们明确表示不想做某事时，这可能与站点管理员的意图背道而驰，”佩雷斯说。“说白了，这是WordPress用户和帮助维护项目的基金会之间存在的信任滥用。

“我的立场不是它不应该存在。这是一场更深入的意识形态辩论，但它是关于尊重管理员的明确意图。”