在世界上最受歡迎的機器模擬器和虛擬器 QEMU(最受歡迎的虛擬化系統 KVM、Xen 等)所使用的 QEMU 中發現了嚴重的安全問題。所謂的 Venom 攻擊允許具有虛擬機器 root 存取權限的使用者在特殊情況下獲得整個主機節點的 root 存取權。qemu-kvm的官方補丁已經 發布,修復了該漏洞。
這對 SiteGround 客戶有何影響?
然而,我們在推出新的基於容器的服務之前訂購的 VPS 和雲端帳戶仍在使用基於 KVM 的虛擬化。好消息是,阿根廷電話號碼數據 為了獲得 VPS 節點的 root 存取權限,攻擊者需要該節點上至少一台虛擬機器的 root 存取權限。出於現已得到回報的安全原因,我們不向 VPS 和雲端用戶提供此類存取權限。這意味著即使您使用的是基於 SiteGround KVM 的計算機,我們仍然可以滿足您的需求。
儘管如此該漏洞仍然存在
必須進行修補。這就是為什麼我們的安全團隊自從漏洞發布以來就一直全天候工作。官方修補程式已經過測試,我們目前正在將其部署到我們擁有的所有基於 KVM 的帳戶上。該補丁需要重新啟動虛擬機器才能套用,這將導致每個帳戶大約 2 到 3 分鐘的停機時間。如果您的帳戶受到此安全重新啟動的影響,您將在您的用戶區收到通知。
由於所報告漏洞的性質
我們無法使用 WAF(Web 應用程式防火牆)系統來阻止伺服器層級的潛在漏洞利用請求。問題出在應用程式非常常用的功能中,經過最佳品質測試的假髮 此類過濾器會大大中斷您網站的正常功能。這就是為什麼這種情況下的解決方案是快速更新 WordPress 及其所有外掛程式。
所有使用我們自動更新程式預設設定的 SiteGround 客戶
都將在接下來的幾個小時內自動更新其核心和插件。如果您透過我們的一鍵安裝程式安裝了 WordPress 並且沒有更改自動更新配置,那麼您無需擔心。我們很快就會透過電子郵件通知您,然後更新您的 WordPress 核心應用程式以及具有新版本的所有外掛程式。
所有不使用我們的自動更新程式但 WordPress 版本高於 3.7 的 SiteGround 客戶都應該已經收到了 WordPress 本身推播的核心 WordPress 更新。不過,Venom 漏洞與 SiteGround 本次更新並沒有改變您外掛程式的版本,因此強烈建議您盡快手動更新所有使用過的外掛程式。
一旦我們的自動升級過程結束,所有 WordPress 帳戶都將被掃描,如果我們發現過時且易受攻擊的插件,ws資料庫 我們將採取額外的措施來保護它們。