Вийшов WordPress 3.5.1

22:49 28.01.2013

В січні, 24.01.2013, вийшла нова версія WordPress 3.5.1.

WordPress 3.5.1 це секюріті та багфікс випуск нової 3.5 серії. В якому розробники виправили декілька уразливостей і 37 багів. Причому до багів віднесли FPD, що виникали при некоректній роботі плагінів. Полюбляють вони відносити дірки до багів, особливо FPD, і не перераховувати їх в списку виправлених уразливостей (тим самим штучно зменшуючи їх кількість, не кажучи вже про часте приховане виправлення уразливостей).

А також був виявлений баг з WP на IIS, який не допускає оновлення з версії 3.5 на 3.5.1. В цьому випадку розробники створили інструкції по проведенню оновлення WordPress на веб сервері IIS.

Стосовно покращення безпеки, то були виправлені наступні уразливості: server-side request forgery та remote port scanning через XML-RPC (використовуючи пінгбеки), 2 Cross-Site Scripting дірки в ядрі движка та 1 XSS в сторонній бібліотеці Plupload, що постачається з движком. З WP 3.5.1 постачається нова виправлена версія Plupload.

Якщо ці дві дірки в XML-RPC вони виправили, то Brute Force дірку, про яку я писав ще рік тому, вони так до цих пір виправити не спромоглися. І враховуючи, що після відключення по дефолту XML-RPC в WP 2.6, вони його включили по дефолту в версії 3.5, то це повернуло BF через XML-RPC в маси.


Leave a Reply

You must be logged in to post a comment.