WordPress 3.5.2 устраняет проблемы безопасности

Если Вы задумываетесь над проблемами безопасности собственных сайтов, то эта заметка и напоминание для тех, кто является владельцем или поддерживает блоги на CMS WordPress. В корректирующем релизе WordPress 3.5.2 устранено семь проблем, связанных с безопасностью. Так что всем рекомендуется обновить свои блоги на новую версию.
WordPress 3.5.2 — обновление

Спасибо команде разработчиков и поддержки WordPress, которая не стала дожидаться окончания разработки новой версии 3.6 и решила (наконец-то) выпустить корректирующий релиз обновления 3.5.2, в котором нет никаких новшеств, но зато устранены насущные и серьезные проблемы, связанные с безопасностью.

Устранены следующие уязвимости

  1. Межсерверная подделка запросов (SSRF — Server-Side Request Forgery) средствами HTTP API.
  2. Превышение привилегий (Privilege Escalation), т.е. когда авторы публикуют сообщения, а пользователи могут затем сменить авторство.
  3. DoS-атаки (Denial of Service). Отказ в обслуживании посредством Post Password Cookies.
  4. Подмена, перехват контента (Content Spoofing) используя апплет Flash в плагине TinyMCE Media.
  5. Раскрытие полного пути к файлам (FPD — Full Path Disclosure) во время загрузки файлов на сервер.
  6. Межсайтовый скриптинг (XSS — Cross-Site Scripting) в SWFUpload. Обнаружено в плагине NextGEN Gallery.
  7. Межсайтовый скриптинг во время загрузки медиа на сайт.

В общей сложности в релизе WordPress 3.5.2 исправлено 12 багов, среди которых (кроме перечисленных выше) есть 3, дополнительно усиливающих безопасность:

  1. XSS-уязвимость при редактировании различных медиа-данных.
  2. XSS-уязвимость во время установки и обновления плагинов и тем.
  3. Вероятность XML-инъекций (XXE — XML External Entity Injection) посредством oEmbed.

Как видите, исправления не касались интерфейса и прочего функционала, а затрагивали лишь проблемы безопасности. Поэтому обновление должно пройти «безболезненно» для версий WP 3.5 и 3.5.1. Обновляться проще и лучше стандартными средствами через Консоль WordPress -> Обновления.

Однако не забывайте, что на всякий случай перед обновлением нужно сделать полный бэкап всего сайта, включая дамп базы данных.

Желающие обновить блог вручную могут скачать русский WordPress 3.5.2 в ZIP-архиве с сайта ru.wordpress.org (или в архиве .tar.gz).

Полный список файлов, затронутых обновлением WordPress 3.5.2

readme.html
wp-admin/includes/media.php
wp-admin/includes/class-wp-importer.php
wp-admin/includes/file.php
wp-admin/includes/post.php
wp-admin/includes/upgrade.php
wp-admin/includes/schema.php
wp-admin/includes/class-wp-upgrader.php
wp-admin/includes/update-core.php
wp-admin/update.php
wp-admin/about.php
wp-admin/edit-form-advanced.php
wp-login.php
wp-includes/class-wp-xmlrpc-server.php
wp-includes/rss.php
wp-includes/functions.php
wp-includes/formatting.php
wp-includes/post.php
wp-includes/media-template.php
wp-includes/deprecated.php
wp-includes/wp-db.php
wp-includes/user.php
wp-includes/class-wp-admin-bar.php
wp-includes/version.php
wp-includes/class-phpass.php
wp-includes/comment.php
wp-includes/pluggable.php
wp-includes/class-feed.php
wp-includes/script-loader.php
wp-includes/class-http.php
wp-includes/js/media-editor.min.js
wp-includes/js/swfupload/swfupload-all.js
wp-includes/js/swfupload/handlers.js
wp-includes/js/swfupload/handlers.min.js
wp-includes/js/swfupload/swfupload.swf
wp-includes/js/plupload/handlers.js
wp-includes/js/plupload/handlers.min.js
wp-includes/js/tinymce/wp-tinymce.js.gz
wp-includes/js/tinymce/plugins/media/moxieplayer.swf
wp-includes/js/tinymce/tiny_mce.js
wp-includes/js/media-editor.js
wp-includes/class-oembed.php
wp-includes/post-template.php
wp-includes/http.php

Дополнение

Для более продвинутых, имеющих опыт программирования на PHP и JavaScript, возможно будет интересно взглянуть непосредственно на конкретные детали измененного кода в файлах по ссылке Changes in branches/3.5 [23347:24498]

Там в таблицах, ниже списка файлов, красным фоном выделено то, что было удалено, а зеленым то, что было добавлено в каждом конкретном файле (в сравнении с версией WordPress 3.5.1). Возможно это пригодится при создании своих скриптов, плагинов или тем для WordPress, либо вообще при разработке своей собственной CMS.

Метки: WordPress, безопасность, обновление

Поделитесь материалом с другими, воспользуйтесь этими кнопками:
Получать обновления и новые материалы блога по E-mail

5 комментариев к “WordPress 3.5.2 устраняет проблемы безопасности”

  1. excreting:

    Блоггер, дилема растолкованная вами на блоге несомненно жизненна. Я думаю что тема стоит продолжения в приватной дискуссии. Кстате, у блога непонятное с код-кой RSS. ;)

    • excreting, а что не так с кодировкой RSS блога, можно подробнее? Если что, можно и скриншот на почту мне выслать.

      Ответить
  2. Анна:

    И вверху в админке (если сами не отключили эту опцию) появляется уведомление про выход обновлений.
    Правда, я не всегда обновлялась, так как не совсем понимала, для чего это нужно. Сейчас-то дошло, что это в моих же интересах :)

    Ответить
    • Анна, только не забывайте делать бэкап перед любым обновлением, даже самым маленьким. А после обновления обязательно проверьте, корректно ли отображаются страницы, правильно ли работают все активированные плагины и остальной функционал вашего блога или сайта.

      Ответить
    • Анна, та опция у меня обычно отключена на блогах, но я подписан на новости от WordPress и получаю их по почте, поэтому всегда в курсе событий, что и Вам рекомендую сделать.

      Ответить

Оставить комментарий к excreting

Нажмите, чтобы отменить ответ.

Подписаться на обновления блога 4remind.ru по RSS
Новости блога в социальных сетях

Новости блога 4remind.ru в Твиттере Персональная страница блога 4remind.ru в Facebook Персональная страница блога 4remind.ru в Google+ Новостная лента блога 4remind.ru в FriendFeed

4remind.ru - персональный блог вебмастера