W3 Total Cache 0.9.5主版本更新修复XSS漏洞,升级需谨慎

分享本文:
W3 Total Cache插件截图

前天,WordPress中文网介绍了W3 Total Cache缓存插件存在高危XSS漏洞的问题。昨天,W3TC团队发布了0.9.5主版本更新,不仅修复了XSS漏洞,还带来了许多新功能。然而,有许多用户抱怨新版本W3TC导致其网站无法访问。

W3TC高危漏洞回顾

W3 Total Cache插件是一个非常热门的WordPres缓存插件,在我们介绍的25个最受用户喜爱的WP插件中,W3TC名列第五,当前安装该插件的网站,有100多万。

然而,近日有网友发现该插件的支持表单功能未对用户输入内容进行转义处理,存在XSS漏洞。尤其是该插件近来开发进展缓慢,最近一次小版本升级,是6个月前(2016年3月份)发布的0.9.4.1;上一次主版本升级,是2年前(2014年)发布的0.9.4;而在这次漏洞爆发之后,开发者迟迟未作出修复,也没有任何回应,引发了许多用户的忧虑。

这这次发布的0.9.5主版本更新,是该插件2014年之后首次发布主要版本更新。本以为这只是一个修复这次XSS高危漏洞的安全维护版本,没想到新版本包含很多新功能。但是,有不少用户抱怨新版本升级导致网站无法访问。

W3TC 0.9.5主要更新

W3TC这次发布的更新0.9.5,本来以为应该只是XSS漏洞的小版本更新,没想到还包括很多的新功能。

W3TC0.9.5更新的主要功能包括:

  • 修复XSS漏洞,
  • 支持 Opcode Cache(操作码缓存),
  • 支持 Redis(一种内存键-值存储系统),
  • 支持 fragment caching(片段缓存),
  • 改进了与PHP 5.6和PHP 7的兼容性。

这次发布的新版本,还增加了对以下技术的支持,包括:

  • 对Google Drive的支持,
  • 对Amazon S3兼容系统的支持,
  • 对PECL memcached缓存的支持,
  • 对srcset(HTML5的一个新属性,用以支持响应式图片)元素的支持,
  • 对Rackspace CDN Origin Pull(Rackspace CDN是一家提供CDN服务的公司)的支持,
  • 对Woff2字体的支持,
  • 对FTPS(加密的FTP协议)的支持,
  • 对WP CLI的支持。

此外,该插件还改进了对 nginx 的兼容性。新版本插件还使用了CloudFlare,AWS,以及Rackspace Cloud File等系统的最新API接口函数。这里的发布说明有更加详细的介绍。

W3TC 0.9.5存在严重的问题

然而新版本发布之后,许多用户在支持论坛抱怨,这次更新搞垮了他们的网站。有些用户甚至建议其他用户不要更新,警告说“最新发布的更新版本,bug数量比之前的版本更多”。截至到我们发表此文时,有15个用户报告新版本插件在WP 4.6.1下工作正常,51个用户报告插件导致他们网站无法访问。

随后,W3TC的开发者Frederick Townes发文称,他们注意到了用户反馈的0.9.5版本的问题,并将会发布后续版本来解决这个问题。他建议用户先设置临时网站来测试新版本插件,确认没有问题之后,再放到生产网站中去:

This release has some cosmetic bugs in the latest version of WordPress, but our test suite shows that core functionality is working as intended. Having said that, I’m sure there are other bugs and bumps in the upgrade process – we’d love to learn about those, so we can push a follow-up release. Thanks in advance for reporting any issues you find. Hopefully, you find them in a staging area and not in your production site.

大意如下:

这次升级版本,在最新版的WordPress中有一些问题,但我们的测试结果表明,核心功能和预期效果完全相符。也就是说,我确信是在升级过程中存在其他的bug。我们期望进一步了解详细信息,并将会发布后续版本。提前感谢你报告使用中发现的每一个问题。我们希望,你最好是在临时区域遭遇这些问题,而不是在的生产网站中。

看起来,该插件没有发布任何beta测试版本就直接发布了新版本,而且时间点刚好赶在了这次XSS高危漏洞上。任何只想要修复该漏洞的用户,都必须升级到该主版本更新才行。看来升级之前,是需要好好掂量一下。

更好的修复方案:Fix W3TC

昨天的文章中,我们就已经给大家介绍了这个来自WordPress社区的W3TC修复方案:Fix W3TC。这是一个WordPress用户发布的W3TC插件的分支,修复W3TC 0.9.4.1存在XSS漏洞,目前托管于GitHub上。现在已经有7位贡献者加入该项目。

遗憾的是,WordPress用户无法通过GitHub直接更新自己网站上的W3TC插件,需要手动下载更新。请务必首先查看Fix W3TC的安装步骤,再进行安装

Fix W3TC项目的目标是为用户提供持续、稳定的W3TC的修复方案。

W3TC 0.9.5版本的大部分新功能,Fix W3TC项目大都已经提前实现,包括对 PHP 7 的兼容性改进,对 Memcached 以及 OPcache 的支持,对 Redis 的支持,对 WoFF2 的支持等。

该插件的开发者在其他贡献者的帮助下,正在与WordPress插件目录团队进行沟通,未来有可能作为单独插件发布到WordPress官方插件目录。

分享本文:


评论: W3 Total Cache 0.9.5主版本更新修复XSS漏洞,升级需谨慎

发表一下评论

邮箱地址不会被公开。 必填项已用*标注