The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Релиз WordPress 4.2 с устранением серьёзной уязвимости

24.04.2015 10:44

Представлен релиз системы управления web-контентом WordPress 4.2, написанной на языке PHP и ориентированной на создание блогов. Одновременно доступен корректирующий выпуск WordPress 4.1.2, в котором устранена критическая уязвимость, позволяющая организовать подстановку JavaScript-кода при публикации комментариев. Эксплуатация производится через манипуляцию с 4-байтовыми символами Unicode - MySQL по умолчанию отрезает хвост строки, если встретился 4-байтовый символ, что может использовано атакующим для обхода кода чистки html-тегов в WordPress.

Основные новшества WordPress 4.2:

  • Полностью переработана функция Press This, предоставляющая апплет для создания репостов и быстрой публикации материалов на основе содержимого любой web-страницы;
  • Упрощён интерфейс установки и обновления плагинов;
  • Поддержка дополнительных наборов символов, включая китайские, корейские и японские иероглифы, музыкальные и математические знаки, символы emoji. Хранение данных в БД переведено c utf8 на 4-байтовый формат utf8mb4;
    💙, 🐸, 🐒, 🍕
  • В Customizer добавлены инструменты для предпросмотра тем оформления и переключения на понравившуюся тему;
  • Функции наглядного встраивания контента в визуальном редакторе расширены поддержкой сервисов Tumblr.com и Kickstarter. Ранее поддерживалось встраивание через ссылку на YouTube, TED, Flickr, SlideShare, Vimeo и Spotify.
  • В WP_Query, WP_Comment_Query и WP_User_Query добавлена поддержка сложных схем упорядочивания вывода (в блоке orderby теперь можно использовать meta_query).


  1. Главная ссылка к новости (https://wordpress.org/news/201...)
  2. OpenNews: ФБР предупредило о волне атак на уязвимые плагины к WordPress
  3. OpenNews: Более ста тысяч сайтов на платформе WordPress поражены вредоносным ПО
  4. OpenNews: В WordPress 3.x выявлена уязвимость, позволяющая подставить JavaScript-код через комментарий
  5. OpenNews: Релиз системы управления web-контентом WordPress 4.0
  6. OpenNews: Зафиксирована DDoS-атака, в которую вовлечено 162 тысячи сайтов на базе WordPress
Лицензия: CC-BY
Тип: Программы
Ключевые слова: wordpress, cms
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (14) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (-), 11:05, 24/04/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > ориентированной на создание блогов

    Прочитал ка "ориентированной на создание ботнетов" oO

     
     
  • 2.12, Аноним (-), 22:58, 24/04/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Надо реже новости смотреть и начать уже спортом заниматься - укрепляет нервы. Меньше испугов будет.
     

  • 1.2, arisu (ok), 11:08, 24/04/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    картинки представляют разработчиков, наверное. дохлое сердце, зелёная жаба, тупая обезьяна и кусок сыра.

    я, в общем, примерно так всегда и думал.

     
     
  • 2.3, A.Stahl (ok), 11:14, 24/04/2015 [^] [^^] [^^^] [ответить]  
  • +/
    >кусок сыра

    Это скорее пицца. А пицца сложнее сыра. Наверное и умнее.
    Так что всё не так уж и плохо.

     
     
  • 3.4, arisu (ok), 11:21, 24/04/2015 [^] [^^] [^^^] [ответить]  
  • +/
    >>кусок сыра
    > Это скорее пицца. А пицца сложнее сыра. Наверное и умнее.
    > Так что всё не так уж и плохо.

    ну да, больше похоже на пиццу с сыром. ок, паника отменяется.

     

  • 1.5, bav (ok), 11:32, 24/04/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    > Хранение данных в БД переведено c utf8 на 4-байтовый формат utf8mb4;
    > The difference between utf8 and utf8mb4 is that the former can only store 3 byte characters, while the latter can store 4 byte characters.

    Щито? В PHP какой то свой utf-8? Норкоманы.

     
     
  • 2.6, Cheshire (?), 11:39, 24/04/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Так то ж MySQL
     
  • 2.10, userd (ok), 13:18, 24/04/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Да, заинтриговало.

    https://dev.mysql.com/doc/refman/5.5/en/charset-unicode-utf8mb4.html

    «As of MySQL 5.5.3, the utf8mb4 character set uses a maximum of four bytes per character supports supplemental characters:

        For a BMP character, utf8 and utf8mb4 have identical storage characteristics: same code values, same encoding, same length.

        For a supplementary character, utf8 cannot store the character at all, while utf8mb4 requires four bytes to store it. Since utf8 cannot store the character at all, you do not have any supplementary characters in utf8 columns and you need not worry about converting characters or losing data when upgrading utf8 data from older versions of MySQL.»

    Т.е. речь идёт о том, что исторически в MySQL под utf8 понимается поддержка Unicode 3.0. Для поддержки новых версий юникода в MySQL 5.5 введён специальный тип кодирования - utf8mb4. Вордпресовцы это заметили и решили что им тоже нужна поддержка клинописи и египетских иероглифов.

     

  • 1.8, anonimous (?), 12:39, 24/04/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Почему все новости про WP как-то связаны с уязвимостями?
     
     
  • 2.9, Andrey Mitrofanov (?), 12:42, 24/04/2015 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Почему все новости про WP как-то связаны с уязвимостями?

    1/ Не все. Изредка разбавляют просто релизами. Наверное. <Не в каждом же релизе, в самом деле?!>
    2/ PHP: a fractal of bad design

     
     
  • 3.14, Аноним (-), 23:02, 24/04/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Во втором пункте вы абсолютно правы: этот язык не написал ещё ни одной дельной программы, зато вынуждает программеров постоянно с ним воевать.
    Пора программистам WordPress'а потихоньку, функция за функцией, переходить на Ruby, Python или Perl.
     

  • 1.11, YetAnotherOnanym (ok), 15:07, 24/04/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    В очередной раз убеждаюсь, что моё давнишнее решение избегать мускула где только можно, было правильным.
     
  • 1.16, бедный буратино (ok), 15:40, 25/04/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    А есть несерьёзные уязвимости? Ну, скажем, смешные уязвимости?
     
     
  • 2.20, dr Equivalent (ok), 19:51, 25/04/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Я с Ghost просто ухохотался.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Слёрм
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру