WordPress 3.0.2 přichází s bezpečnostní opravou

Po vcelku dlouhém období klidu, kdy od vydání první opravné verze v podobě WordPressu 3.0.1 uplynuly už 4 měsíce, přichází bezpečnostní aktualizace jedna za druhou. Nejdříve se před týdnem znenadání objevil WordPress 3.0.2, o kterém sice informujeme se zpožděním, ale přesto se k němu ještě vrátíme, a nyní je tu už další WordPress 3.0.3.

WordPress 3.0.2 neobsahuje žádné nové funkce a jen několik drobných oprav (většinou se také týkaly oprávnění a bezpečnosti). Hlavním důvodem jeho nečekaného vydání (od nahlášení chyby až do vydání nové verze uběhly pouze 4 hodiny) byla nalezená bezpečnostní chyba, konkrétně pak možnost napadení pomocí SQL Injection. Samotný útok mohl provést uživatel alespoň na úrovni Redaktor (tedy s právem publikovat a upravovat publikované příspěvky) a dále musela být na příslušném webu povolena možnost odesílání trackbacků. Podrobný popis (i s obrázky) této bezpečnostní chyby je dostupný na webu Vladimira Kolesnikova, který vše pečlivě zdokumentoval (anglicky) a zvídaví uživatelé si tak mohou celý postup vyzkoušet (a něco se tím i naučit). Tato chyba existovala nepovšimnuta i ve starších verzích WordPressu 2.x a byla popsána (rusky) již před rokem a půl (a dokonce nahlášena vývojářům). Naštěstí však tato chyba nepostihuje všechny weby, ale zneužití hrozí pouze v případě, kdy mají do administrace WordPressu přístup další (nedůvěryhodní) lidé (s oprávněním Redaktor či výše), kteří “chtějí” web nějakým způsobem poškodit a opravdu se velmi dobře vyznají v programování. Prakticky by pak mohli pomocí této bezpečnostní chyby získat např. hesla, emaily, bezpečnostní klíče či další důležité informace. Pokud však s webem pracuje pouze jeden uživatel (Administrátor), tak se ho bezpečnostní aktualizace příliš netýká. Každopádně automatická aktualizace určitě neuškodí

Aktualizace (3.1.2011): Nakonec se zjistilo, že se chyba vyskytovala ve WordPressu už od verze 2.6, kdy došlo k úpravě dotazů do databáze (zdroj).

A co nového ještě WordPress 3.0.2 přináší (programátoři si mohou prohlédnout zdrojové kódy přímo zde)? Opraveno bylo několik chyb, např. problém se stránkováním příspěvků rozdělených na několik částí (vyskytoval se pouze při určitém nastavení struktury trvalých odkazů), vyřešeny byly některé podivné chybové hlášky při aktivaci pluginů a došlo k odstranění některých nevýznamných možností pro XSS (Cross-site scripting) napadení. Několik oprav se týkalo také víceuživatelské verze, takže pokud jste s ní měli nějaký problém, tak můžete doufat a aktualizovat.

Čeština pro WordPress 3.0.2 nakonec tedy ani nevyjde. Sice už je skoro hotová (zapracovány stávající opravy a změny řetězců týkající se pluginu Akismet), ale vzhledem k tomu, že už vyšel WordPress 3.0.3, tak by bylo její vydání vcelku zbytečné (a ani by nebyla nabídnuta v administraci k aktualizaci).

Nejoblíbenější hosting pro WordPress WEDOS.cz

4 komentáře u „WordPress 3.0.2 přichází s bezpečnostní opravou“

  1. Fajn :-). Takže budu aktualizovat až rovnou z 3.0.1 na 3.0.3. Jestli to dobře chápu, tak je to jedno a můžu tu 3.0.2 klidně přeskočit. Díky za Vaší práci!

Napsat komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *