V úterý 21.06.2016 proběhla velmi rychle automatická aktualizace WordPress 4.5.3. Jednalo se aktualizaci, která opravovala několik poměrně závažných bezpečnostních problémů a 17 chybiček z verzí 4.5.1 a 4.5.2. Jestliže automatickou aktualizaci máte vypnutou, tak v tomto případě na nic nečekejte a proveďte jí ihned.

Opravené bezpečnostní díry

V Přizpůsobení vzhledu byl problém s obejitím přesměrování (stále hledám podrobnosti).

Byly objeveny hned dva odlišné způsoby jak provést XSS (cross site scripting) útok a to přes názvy přiložených souborů (médií). V případě, že povolujete cizím lidem se registrovat a psát příspěvky, zvažte zdali jim nezakázat nahrávat obrázky. Samozřejmě ideální je zároveň zakázat cokoliv, co se stahuje ze zdrojů třetích stran (obrázky, vkládané citace, videa atd.) Zde si zahráváte právě s XSS.

Z minulých revizí šlo získat informace i bez patřičného oprávnění. Tady hrozil hlavně únik dat.

DoS útok pomocí upraveného oEmbed, který se používá například na vkládání videa z YouTube.

Odstranění kategorie z příspěvku bez patřičného oprávněné. – Nejednalo se sice o závažnou bezpečnostní chybu, ale útočník mohl takto poškodit trvalé odkazy na webu (pokud byla kategorie součástí URL). Což by znamenalo například problém s vyhledávači.

Změna hesla přes ukradenou cookie. – Jednalo se o nejzávažnější bezpečnostní díru, kterou tato aktualizace opravovala. Naštěstí jí objevil Michael Adams, který je členem WordPress security týmu. K provedení úspěšného útoku je většinou zapotřebí ještě XSS (cross site scripting).

Funkce sanitize_file_name() slouží pro nahrazení mezer v URL za pomlčky. Byla posílena, aby nemohlo dojít k jejímu zneužití vložením nějakého nepředvidatelného řetězce.

Další opravené chybičky

  • #35657 Problém s výpočtem velikosti obrázků při body.load

  • #36379 Uložení příspěvku mohlo odstranit hierarchii Saving post can remove its hierarchical terms if user cannot assign terms

  • #36531 Základní (default) velikost obrázku medium_large se někdy negenerovala

  • #36533 Browse Media nefungovala jak by měla na front-end

  • #36590 POST[‚nav-menu-data‘] rozbíjela ostatní POST

  • #36637 Inline linking inserts `_wp_link_placeholder`

  • #36660 WP_Customize_Widgets::preview_sidebars_widgets() mohla za jistých okolností vrátit FALSE

  • #36708 Funkce ini_set() při wp_debug_mode() i když byl vypnutý tak zobrazovala chybovou hlášku

  • #36748 Update tabulek na utf8mb4 způsobovala u některých sloupců, že se změnil jejich typ

  • #36749 Customizer se nenahrál. problém byl s ovládáním site-icon

  • #36767 U oEmbed došlo k optimalizaci výkonu

  • #36793 Customizer se nenahrál v prohlížeči IE8

  • #36838 Chyba „Invalid argument supplied“ pro funkci foreach() v /wp-includes/theme-compat/embed-content.php

  • #36861 Tlačítko „Insert into post“ v okně „Edit Image“ nefungovalo.

  • #36876 TinyMCE: inline toolbars don’t adjust position

  • #36892 Aktualizace knihovny jQuery na 1.4.1

  • #36900 Media grid AttachmentsBrowser arrows navigation and restoreFocus()

Překlad je prozatím provizorní a bude ještě opraven/doplněn jakmile se ukáže jak přesně chyby fungovaly.

Známé problémy s WordPress 4.5.3

Než začnete panikařit vyčistěte cache, restartujte prohlížeč. Zkuste vypnout a zapnout všechny pluginy a šablonu. Vždy když se mění něco ve WordPress, tak občas zůstanou soubory v cache a to může způsobit rozhozený design.

Plugin Revolution Slider ve verzi 5.2.5.1 za určitých okolností je rozbitý. Je třeba aktualizovat plugin.

Zdroj: https://codex.wordpress.org/Version_4.5.3

Share on FacebookTweet about this on TwitterShare on Google+Share on LinkedInBuffer this page