The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

24.04.2015 10:44  Релиз WordPress 4.2 с устранением серьёзной уязвимости

Представлен релиз системы управления web-контентом WordPress 4.2, написанной на языке PHP и ориентированной на создание блогов. Одновременно доступен корректирующий выпуск WordPress 4.1.2, в котором устранена критическая уязвимость, позволяющая организовать подстановку JavaScript-кода при публикации комментариев. Эксплуатация производится через манипуляцию с 4-байтовыми символами Unicode - MySQL по умолчанию отрезает хвост строки, если встретился 4-байтовый символ, что может использовано атакующим для обхода кода чистки html-тегов в WordPress.

Основные новшества WordPress 4.2:

  • Полностью переработана функция Press This, предоставляющая апплет для создания репостов и быстрой публикации материалов на основе содержимого любой web-страницы;
  • Упрощён интерфейс установки и обновления плагинов;
  • Поддержка дополнительных наборов символов, включая китайские, корейские и японские иероглифы, музыкальные и математические знаки, символы emoji. Хранение данных в БД переведено c utf8 на 4-байтовый формат utf8mb4;
    💙, 🐸, 🐒, 🍕
  • В Customizer добавлены инструменты для предпросмотра тем оформления и переключения на понравившуюся тему;
  • Функции наглядного встраивания контента в визуальном редакторе расширены поддержкой сервисов Tumblr.com и Kickstarter. Ранее поддерживалось встраивание через ссылку на YouTube, TED, Flickr, SlideShare, Vimeo и Spotify.
  • В WP_Query, WP_Comment_Query и WP_User_Query добавлена поддержка сложных схем упорядочивания вывода (в блоке orderby теперь можно использовать meta_query).


  1. Главная ссылка к новости (https://wordpress.org/news/201...)
  2. OpenNews: ФБР предупредило о волне атак на уязвимые плагины к WordPress
  3. OpenNews: Более ста тысяч сайтов на платформе WordPress поражены вредоносным ПО
  4. OpenNews: В WordPress 3.x выявлена уязвимость, позволяющая подставить JavaScript-код через комментарий
  5. OpenNews: Релиз системы управления web-контентом WordPress 4.0
  6. OpenNews: Зафиксирована DDoS-атака, в которую вовлечено 162 тысячи сайтов на базе WordPress
Лицензия: CC-BY
Тип: Программы
Ключевые слова: wordpress, cms
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, Аноним (-), 11:05, 24/04/2015 [ответить] [показать ветку] [···]    [к модератору]
  • +1 +/
    > ориентированной на создание блогов

    Прочитал ка "ориентированной на создание ботнетов" oO

     
     
  • 2.12, Аноним (-), 22:58, 24/04/2015 [^] [ответить]    [к модератору]
  • +1 +/
    Надо реже новости смотреть и начать уже спортом заниматься - укрепляет нервы. Меньше испугов будет.
     
  • 1.2, arisu (ok), 11:08, 24/04/2015 [ответить] [показать ветку] [···]    [к модератору]
  • +4 +/
    картинки представляют разработчиков, наверное. дохлое сердце, зелёная жаба, тупая обезьяна и кусок сыра.

    я, в общем, примерно так всегда и думал.

     
     
  • 2.3, A.Stahl (ok), 11:14, 24/04/2015 [^] [ответить]    [к модератору]
  • +/
    >кусок сыра

    Это скорее пицца. А пицца сложнее сыра. Наверное и умнее.
    Так что всё не так уж и плохо.

     
     
  • 3.4, arisu (ok), 11:21, 24/04/2015 [^] [ответить]    [к модератору]
  • +/
    >>кусок сыра
    > Это скорее пицца. А пицца сложнее сыра. Наверное и умнее.
    > Так что всё не так уж и плохо.

    ну да, больше похоже на пиццу с сыром. ок, паника отменяется.

     
  • 1.5, bav (ok), 11:32, 24/04/2015 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    > Хранение данных в БД переведено c utf8 на 4-байтовый формат utf8mb4;
    > The difference between utf8 and utf8mb4 is that the former can only store 3 byte characters, while the latter can store 4 byte characters.

    Щито? В PHP какой то свой utf-8? Норкоманы.

     
     
  • 2.6, Cheshire (?), 11:39, 24/04/2015 [^] [ответить]    [к модератору]  
  • +1 +/
    Так то ж MySQL
     
  • 2.10, userd (ok), 13:18, 24/04/2015 [^] [ответить]    [к модератору]  
  • +1 +/
    Да, заинтриговало.

    https://dev.mysql.com/doc/refman/5.5/en/charset-unicode-utf8mb4.html

    «As of MySQL 5.5.3, the utf8mb4 character set uses a maximum of four bytes per character supports supplemental characters:

        For a BMP character, utf8 and utf8mb4 have identical storage characteristics: same code values, same encoding, same length.

        For a supplementary character, utf8 cannot store the character at all, while utf8mb4 requires four bytes to store it. Since utf8 cannot store the character at all, you do not have any supplementary characters in utf8 columns and you need not worry about converting characters or losing data when upgrading utf8 data from older versions of MySQL.»

    Т.е. речь идёт о том, что исторически в MySQL под utf8 понимается поддержка Unicode 3.0. Для поддержки новых версий юникода в MySQL 5.5 введён специальный тип кодирования - utf8mb4. Вордпресовцы это заметили и решили что им тоже нужна поддержка клинописи и египетских иероглифов.

     
  • 1.8, anonimous (?), 12:39, 24/04/2015 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Почему все новости про WP как-то связаны с уязвимостями?
     
     
  • 2.9, Andrey Mitrofanov (?), 12:42, 24/04/2015 [^] [ответить]    [к модератору]  
  • +2 +/
    > Почему все новости про WP как-то связаны с уязвимостями?

    1/ Не все. Изредка разбавляют просто релизами. Наверное. <Не в каждом же релизе, в самом деле?!>
    2/ PHP: a fractal of bad design

     
     
  • 3.14, Аноним (-), 23:02, 24/04/2015 [^] [ответить]     [к модератору]  
  • –1 +/
    Во втором пункте вы абсолютно правы этот язык не написал ещё ни одной дельной п... весь текст скрыт [показать]
     
  • 1.11, YetAnotherOnanym (ok), 15:07, 24/04/2015 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    В очередной раз убеждаюсь, что моё давнишнее решение избегать мускула где только можно, было правильным.
     
  • 1.16, бедный буратино (ok), 15:40, 25/04/2015 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    А есть несерьёзные уязвимости? Ну, скажем, смешные уязвимости?
     
     
  • 2.20, dr Equivalent (ok), 19:51, 25/04/2015 [^] [ответить]    [к модератору]  
  • +/
    Я с Ghost просто ухохотался.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor