WordPress 4.0.1 de lançamento de segurança

Iniciado por Candidosa2, 22 de Novembro de 2014, 17:54

Tópico anterior - Tópico seguinte

0 Membros e 2 Visitantes estão a ver este tópico.

Candidosa2




Postado 20 de novembro de 2014 por Andrew Nacin. Arquivado em Lançamentos, Segurança.







WordPress 4.0.1 já está disponível. Este é um lançamento de segurança crítica para todas as versões anteriores e nós encorajamos você a atualizar seus sites imediatamente.


Sites que oferecem suporte a atualizações automáticas fundo será atualizado para WordPress 4.0.1 dentro das próximas horas. Se você ainda está em WordPress 3.9.2, 3.8.4, 3.7.4 ou, você será atualizado para 3.9.3, 3.8.5, 3.7.5 ou para manter tudo seguro. (Nós não suportam as versões mais antigas, então por favor atualize para 4.0.1 para o mais recente e maior.)

Versões do WordPress 3.9.2 e anteriores são afetadas por uma vulnerabilidade de script cross-site crítica, o que poderia permitir que usuários anônimos para comprometer um site. Isto foi relatado por Jouko Pynnönen. Este problema não afeta a versão 4.0, mas a versão 4.0.1 não abordar estas oito questões de segurança:

Três questões cross-site scripting que um contribuinte ou o autor poderia usar para comprometer um site. Descoberto por Jon Cave, Robert Chapin, e John Blackbourn da equipe de segurança WordPress.
A falsificação de solicitação entre sites que poderia ser usada para enganar o usuário a mudar sua senha.
Uma questão que poderia levar a uma negação de serviço quando as senhas são verificadas. Relatado por Javier Nieto Arevalo e Andres Rojas Guerrero.
Proteções adicionais para do lado do servidor ataques falsificação de solicitação quando WordPress faz solicitações HTTP. Relatado por Ben Bidner (vortfu).
Uma colisão de hash extremamente improvável poderia permitir que a conta de um usuário seja comprometida, que também exigiu que eles não se identificou desde 2008 (eu desejo que eu estava brincando). Relatado por David Anderson.
WordPress agora invalida os links em um e-mail de redefinição de senha se o usuário se lembra de sua senha, loga, e muda o seu endereço de e-mail. Informou separadamente por Momen Bassel, tanoy Bose, e Bojan Slavković de ManageWP.
Versão 4.0.1 também corrige 23 erros com 4.0, e já fez duas alterações de proteção, incluindo uma melhor validação dos dados EXIF estamos extraindo de fotos enviadas. Relatado por Chris Andrè Dale.

Apreciamos a divulgação responsável destas questões diretamente para a nossa equipe de segurança. Para obter mais informações, consulte as notas de lançamento ou consultar a lista de mudanças.

Baixe WordPress 4.0.1 ou aventurar para o Dashboard → Actualizações e basta clicar em "Actualizar agora".








[spoiler]https://wordpress.org/download/[/spoiler]