WordPress.org

Aktualności

WordPress 4.1.2 – Wydanie poprawiające bezpieczeństwo

WordPress 4.1.2 – Wydanie poprawiające bezpieczeństwo


WordPress 4.1.2 jest już dostępny. To wydanie naprawia krytyczne błędy, które obecne są we wszystkich poprzednich wersjach systemu. Zalecane jest natychmiastowe przeprowadzenie aktualizacji.

WordPress w wersjach 4.1.1 i wcześniejszych był podatny na atak metodą Cross-Site Scripting (XSS), co mogło umożliwić włamanie na stronę przez dowolnych użytkowników. Problem ten został zgłoszony przez Cedrica Van Bockhavena i naprawiony przez Gary’ego Pendergasta, Mike’a Adamsa oraz Andrewa Nacina z zespołu bezpieczeństwa systemu WordPress.

Naprawiliśmy także trzy inne problemy związane z bezpieczeństwem:

  • W WordPressie 4.1 i nowszych wgrywane mogły być pliki z nieprawidłowymi lub niebezpiecznymi nazwami. Problem odkryli Michael Kapfer i Sebastian Kraemer z HSASec.
  • W WordPressie 3.9 i nowszych, bardzo ograniczona podatność na atak typu Cross-Site Scripting (XSS) mogła zostać użyta jako część ataku socjotechnicznego, co zostało odkryte przez Jakuba Zoczka.
  • Niektóre wtyczki były podatne na atak typu SQL Injection, co zostało odkryte przez Bena Bidnera z zespołu bezpieczeństwa systemu WordPress.

Wprowadziliśmy także cztery dodatkowe zabezpieczenia, które zostały zlokalizowane przez J.D. Grimesa, Divyesha Prajapatiego, Allana Collinsa, Marc’a-Alexandre’a Montpasa oraz Jeffa Bowena.

Doceniamy odpowiedzialne ujawnienie tych problemów bezpośrednio naszemu zespołowi bezpieczeństwa przez powyższe osoby. Więcej informacji można znaleźć w notatkach do wydania oraz liście przeprowadzonych zmian.

Pobierz WordPressa 4.1.2 lub udaj się do sekcji Kokpit Aktualizacje panelu administracyjnego i po prostu kliknij przycisk „Zaktualizuj teraz”. Witryny, które obsługują automatyczne aktualizacje, rozpoczęły już ich przeprowadzanie.

Dziękujemy wszystkim, którzy pracowali nad wersją 4.1.2: Allan Collins, Alex Concha, Andrew Nacin, Andrew Ozz, Ben Bidner, Boone Gorges, Dion Hulse, Dominik Schilling, Drew Jaynes, Gary Pendergast, Helen Hou-Sandí, John Blackbourn, i Mike Adams.

Wiele wtyczek także udostępniło w ostatnich dniach aktualizacje bezpieczeństwa. Aktualizuj wszystko na bieżąco, by strona była zabezpieczona. Jeśli jesteś autorem wtyczki, przeczytaj ten wpis, by sprawdzić, czy nie jest ona podatna na ataki przez wspomniane problemy. Dziękujemy wszystkim autorom wtyczek, którzy współpracowali z naszym zespołem bezpieczeństwa, by zapewnić wspólną i spójną odpowiedź na wykryte zagrożenia.

Testujesz już WordPressa 4.2? Trzecia wersja release candidate jest już dostępna (zip) i pozbawiona powyższych problemów. Więcej szczegółów na temat wersji 4.2 znajduje się we wpisie zapowiadającym wersję RC1.

Dodaj komentarz