ГлавнаяНовостиРелизы безопасности WordPress 4.1.2 и 4.1.3

Релизы безопасности WordPress 4.1.2 и 4.1.3

Несколько часов назад команда WordPress выпустила критическое обновление ядра. В версии 4.1.2 устранена уязвимость XSS, позволяющая злоумышленнику получить доступ к сайту на WordPress.

Данное обновление является обязательным для всех пользователей WordPress. Разработчики также подготовили релизы для предыдущих веток ядра, которые поддерживают фоновые обновления: 3.7.6, 3.8.6, 3.9.4, и 4.0.2. Это говорит о том, что данная XSS уязвимость является более чем серьезной.

WordPress 4.1.2

WordPress 4.1.2

Помимо XSS уязвимости в версию 4.1.2 вошли также несколько менее критических обновлений, связанных с SQL инъекцией в некоторых плагинах, с возможностью загружать файлы с небезопасным наименованием, и с XSS атакой методом социального инжиниринга.

На многих WordPress сайтах уже сработало автоматическое фоновые обновления ядра, и администраторы уже получили соответствующие уведомления. Если ваш сайт по какой-либо причине еще не обновился до последней версии соответствующей ветки WordPress, рекомендуем немедленно выполнить обновление вручную в разделе Консоль → Обновления.

Список всех изменений в версии 4.1.2 вы (а также злоумышленники) можете найти в баг-трэкере WordPress.

Обновление: Вышло обновление ядра 4.1.3, закрывающее проблему с кодировкой cp1251 таблиц БД. Проблема появилась в 4.1.2. Актуально для русскоговорящих пользователей. #

Подписаться на рассылку

Подписаться → Подпишитесь на бесплатную рассылку журнала WP Magazine и получайте новости, события, подборки тем и плагинов, уроки, советы и многое другое в мире WordPress!

  • Спасибо! Константин как всегда на страже :) Что-то эта неделя и месяц богаты на уязвимости.

    • versusbassz

      Да WordPress — решето, на Rust надо его переписать, там всё безопасно.

  • Ksenia Perova

    Что-то у меня один из сайтов сдох после этого обновления :(( «Неверное перенаправление на странице» :( Хотя, может, это и не с обновлением связано.

  • Похоже что у вас в сети есть сайт с таким поддоменом, и при обновлении ядра Multisite пытается обновить базу данных на всех сайтах в сети, но не может достучаться до вашего субдомена. Если вам этот сайт не нужен, вы можете его просто удалить через панель управления сетью в разделе Сайты.

    • artem zaytsev

      пробовал удалить, у меня выскакивает белый экран и ничего не происходит. когда снова захожу в раздел сайты, он по прежнему в списке

      • Если белый экран значит при удалении возникает какая-то ошибка, смотрите логи на сервере, возможно конфликт с каким-нибудь плагином.

  • versusbassz

    Вышло обновление ядра 4.1.3, закрывающее проблему с кодировкой cp1251 таблиц БД. Проблема эта появилась в 4.1.2. Актуально для русскоговорящих пользователей.

    http://wptavern.com/why-some-sites-automatically-updated-to-wordpress-4-1-3

    Но лучше сразу на 4.2, наверное :)

    • Спасибо, добавили обновление в статью. Согласен, лучше сразу на 4.2, тем не менее, если таблицы в cp1251, то лучше их все же перевести в utf8 (или utf8mb4) не зависимо от версии ядра.