Απο Evangelos Athanasiadis
WordPress 4.2.2
Πάρα πολύ γρήγορα μετά την έκδοση 4.2 και 4.2.1 μια νέα κρίσιμη έκδοση ασφαλείας 4.2.2, το οποίο διορθώνει τα εξής:
- Το πακέτο Genericicons fonts, το οποίο χρησιμοποιείται από πάρα πολλά δημοφιλή θέματα και πρόσθετα, περιέχει ένα αρχείο HTML το οποίο είναι ευάλωτο σε επίθεση cross-site scripting. Όλα τα επηρεαζόμενα θέματα και πρόσθετα που φιλοξενούνται στο wordpress.org (Μαζί με το προεπιλεγμένο θέμα Twenty Fifteen), αναβαθμίστηκαν σήμερα από την ομάδα ασφαλείας του WordPress, αφαιρώντας το μη απαραίτητο αρχείο. Το WordPress 4.2.2 προληπτικά ελέγχει αν υπάρχει το φάκελο wp-content για αυτό το αρχείο HTML και το αφαιρεί.
- Οι εκδόσεις 4.2 ή προηγούμενες επηρεάζονται είναι τρωτά από ένα κρίσιμο cross-site scripting , το οποίο επιτρέπει ανώνυμους χρήστες να αποκτήσουν πλήρη πρόσβαση στον ιστότοπο. Η έκδοση 4.2.2 διορθώνει αυτό το πρόβλημα.
Η έκδοση 4.2.2 επίσης μειώνει την τρωτότητα σε πιθανα cross-site scripting, όταν χρησιμοποιείται ο οπτικός διορθωτής. Επιπρόσθετα περιέχει 13 σφάλματα της έκδοση 4.2
Η αναβάθμιση επιβάλλεται και σε όσους ιστότοπους δεν γίνει αυτόματα θα πρέπει οι διαχειριστές άμεσα να προβούν σε αυτό, ενώ ότι ειναι μόνο διορθώσεις ασφαλείας εξασφαλίζει ότι δεν θα επηρεαστεί καμιία λειτουργικότητα σε ιστότοπους που ήδη τρέχουν την έκδοση 4.2
Evangelos Athanasiadis
