WordPress 4.2.4 – další bezpečnostní a opravná verze

Nedávná bezpečnostní a opravná aktualizace v podobě WordPressu 4.2.3 bohužel nečekaně “rozbila” některé funkce (např. vkládání skriptů do editoru a zkrácené zápisy), což by měl napravit WordPress 4.2.4 společně s několika opravenými bezpečnostními problémy.

Dnešní WordPress 4.2.4 opravuje celkem šest bezpečnostních chyb, což mi přijde docela dost na to, že poslední verze vyšla před dvěma týdny. A čtyři z nich mohly být útočníkem potenciálně zneužity k různým aktivitám na webu. Podrobnosti o jednotlivých chybách zatím nejsou dostupné, takže se pokusím jen o stručný přehled (případně budou informace do článku teprve postupně doplněny).

  • Celkem tři chyby umožňovaly poměrně častý způsob útoku nazývaný Cross-site scripting (aneb XSS). Konkrétně šlo asi o opravu, která doplnila funkci hash_equals(), v dalším případě zase chyběla funkce esc_attr() a poslední opravu naleznete zde.
  • Opravena byla také chyba v podobě SQL injection, kde nedocházelo k ověření číselné hodnoty a zapomnělo se i na správné ošetření databázového dotazu (oprava).
  • Došlo k prevenci před potenciálním side-channel útokem (překládáno také jako útok postranním kanálem). Zatím jsem žádné další podrobnosti nenašel, ale patrně šlo o opravu, která souvisela s odebráním nefunkčního kódu (ve starších verzích sloužil pro náhledy šablon).
  • Útočník mohl uzamknout příspěvek, takže i když ho nemohl přímo upravit, tak v tom mohl zabránit dalším uživatelům (oprava).

Nedávný WordPress 4.2.3 bohužel přinesl některé nečekané problémy, které mohly omezit správné fungování webu, a protože k tomu došlo v rámci automaticky spouštěná aktualizace, tak to naštvalo mnoho postižených uživatelů. Nové aktualizace byste se však údajně bát neměli, protože by měla dát zase všechno do pořádku :-)

WordPress 4.2.4 tak opravuje asi nejzávažnější problém, kdy přestaly fungovat některé vkládané JavaScriptové kódy (např. Adsense reklamy), respektive po jejich vložení do HTML editoru byly převedeny do bezpečné (a tedy nefunkční) podoby. Podobné praktiky sice nejsou ideálním způsobem práce s editorem a složitější kódy je vhodnější definovat např. pomocí zkráceného zápisu (shortcode), ale pro některé situace se může i tento postup občas hodit.

Konečně se snad také podařilo dořešit chybu, která souvisela se změnami v oblasti kódování databázových tabulek. V některých případech (podle nastaveného kódování v souboru wp-config.php) totiž nešlo vůbec vytvářet nové příspěvky a položky taxonomií. Dále byla opravena chybová hláška při automaticky spouštěné aktualizaci, kterou mohla na některých serverech způsobovat použitá funkce glob(). A poslední problém už bude patrně opraven pouze pro WordPress 4.2.4, zatímco nově chystaná verze 4.3 nebude konkrétní funkčnost podporovat.

Některé opravy (nejen bezpečnostní) byly dost závažné, takže se kromě WordPressu 4.2.4 dočkáme i dalších verzí, konkrétně 4.1.7, 4.0.7, 3.9.8, 3.8.10 a 3.7.10.

Snad už během zítřka by měla vyjít také čeština pro WordPress 4.2.4, která bude obsahovat všechny provedené změny v lokalizaci za několik posledních týdnů.

Ideální český hosting pro český WordPress je CZECHIA.CZ

3 thoughts on “WordPress 4.2.4 – další bezpečnostní a opravná verze”

  1. Právě řeším zajímavý problém, kdy stránky jsou sice plně funkční, ale 5.8. byly pozměněny soubory, např. index.php ve wp-content a 23.8. Google upozornil, že má problém procházet obsah. Nevěnoval jsem tomu pozornost, ale skutečně od té doby je návštěvnost z Googlu nulová, přitom stránky se normálně zobrazí. Nechci sem dávat odkaz, protože je to gambling, ale zatím se mi nepodařilo přijít na to, kde je problém.
    Při použití Google Webmaster Tools není Google schopen načíst žádnou stránku, mapu ani robots.txt.

  2. Jan Pokorný: Datum by sice odpovídalo automaticky spouštěné aktualizaci, ale soubor wp-content/index.php aktualizován být neměl (přehled změněných souborů je dostupný např. zde). Spíše to vypadá na nějaký virus…

Napsat komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *