In WordPress

Version 4.4.2 af WordPress er en sikkerhedsopdatering som fikser en række huller i systemet. Ifølge WordPress' blog, så har de løst to sikkerhedsproblemer som stammer fra v. 4.4.1 og ældre; svaghed med SSRF for lokale URI'er samt angreb på åbne viderestillinger.
SSRF står for "server side request forgery" og kan misbruges af hackere, til at undvige adgangskontrol såsom firewall og ultimativt kan det nedlægge en server.
Angreb på viderestillinger ville gøre det muligt, at viderestille/sende brugere fra en pålidelig hjemmeside til en upålidelig hjemmeside, hvor målet kunne være at få brugeren til at betale for en service eller på anden måde tjene penge på beskidte måder (phishing).
Udover disse to store sikkerhedshuller, så er der også rettet 17 bugs i systemet. Opdateringen kan downloades direkte fra dit WordPress kontrolpanel – i de fleste tilfælde sker opdateringen automatisk. Har du ikke mulig for at opdatere fra dit kontrolpanel, så kan du hente opdateringen fra WordPress.org's hjemmeside.

Liste over alle de rettelse fejl/bugs

  • #36435 HTTP: 0.1.2.3 is not a valid IP.
  • #36444 Better validation of the URL used in HTTP redirects.
  • #35356 wp_list_comments ignores $comments parameter
  • #35478 4.4 Regression on Querying for Comments by Multiple Post Fields
  • #35192 Comments_clauses filter
  • #35251 'networks' should be global cache group
  • #35316 Images with latin extended characters in exif (slovak/czech) are missing thumbnails
  • #35327 Using libsodium for random bytes breaks plugin update in WP 4.4
  • #35344 Strange pagination issue on front page after 4.4.1 update
  • #35355 Customizer should not try to return to the login screen
  • #35361 Error in SQL syntax search page
  • #35376 Default URL for emoji images should be always https
  • #35378 Incorrect comment ordering when comment threading is turned off
  • #35401 Taxonomies Quick Edit: prevent page reload when submitting
  • #35402 per_page parameter no longer works in wp_list_comments
  • #35412 ModSecurity2 blocks Potential Obfuscated Javascript in outbound anomaly
  • #35419 Incorrect comment pagination when comment threading is turned off
  • #35462 update_term_cache and deleting object_id
  • #35447 Button to delete inactive widgets is displayed on inactive sidebars

Følgende filer er blevet opdateret:

wp-admin/includes/image.php
wp-admin/js/inline-edit-tax.min.js
wp-admin/js/inline-edit-tax.js
wp-admin/widgets.php
wp-admin/about.php
wp-includes/ms-blogs.php
wp-includes/class-wp-customize-manager.php
wp-includes/js/wp-emoji-loader.js
wp-includes/js/wp-emoji-loader.min.js
wp-includes/random_compat/random.php
wp-includes/formatting.php
wp-includes/taxonomy.php
wp-includes/comment-template.php
wp-includes/load.php
wp-includes/query.php
wp-includes/kses.php
wp-includes/http.php
wp-includes/version.php
wp-includes/class-wp-comment-query.php
wp-includes/pluggable.php
readme.html

Kilder:

Recent Posts

Leave a Comment