Przy okazji artykułu o gutenbergowej aktualizacji WordPressa (5.0) wspomniałem, że ja się z aktualizacją wstrzymam kilka dni, i pewnie do tego czasy wyjdzie już 5.0.1, a może i dalej. Ja się cały czas wstrzymuje, ale wersja 5.0.1 wyszła, i przynosi sporo poprawek – również bezpieczeństwa. Na szczęście dla takich jak ja wyszła też wersja 4.9.9, która również łata podatności, a nie wprowadza Gutenberga.
WordPress 5.0.1 i 4.9.9
Oczywiście to nie jest tak, że w ramach jakiegoś buntu zostanę na swoich stronach ze starą wersją. Aktualizacja mnie czeka, raczej nie ma od niej ucieczki, ale uznałem, że dam trochę czasu społeczności na lepsze przetestowanie nowej wersji. Zresztą na mojej wersji deweloperskiej (do testów) widzę, że jeszcze nie wszystkie wtyczki w 100% zostały dopasowane do zmian jakie nastąpiły wraz z nadejściem nowego edytora blokowego.
Odnaleziono i załatano następujące podatności:
- Authenticated File Delete
- Authenticated Post Type Bypass
- PHP Object Injection via Meta Data
- Authenticated Cross-Site Scripting (XSS)
- Cross-Site Scripting (XSS) that could affect plugins
- User Activation Screen Search Engine Indexing
- File Upload to XSS on Apache Web Servers
- Import Cross-Site Scripting (XSS)
Wprawdzie nie ma tu nic, co by sprawiło, że moje serce jakoś szybciej zabiło, ale też chyba dawno nie było aż tak rozległej aktualizacji bezpieczeństwa. Zwłaszcza, że cały czas napływają raporty o kolejnych błędach, więc coś czuje, że będę ten artykuł jeszcze aktualizował…
Co istotne, to wymienione błędy (podatności) nie dotyczą tylko WordPressa w wersji 5.0, ale i starszych wersji. Dlatego jeśli ktoś nie chce (jeszcze) wersji 5 (5.0.1 po aktualizacji), to powinien dokonać aktualizacji do wersji 4.9.9, o ile taka aktualizacja nie wykonała się automatycznie.
Pasjonat nowych technologii - od sprzętu po oprogramowanie, od serwerów po smartfony i rozwiązania IoT. Potencjalnie kiepski bloger, bo nie robi zdjęć "talerza" zanim zacznie jeść.
Dumny przyjaciel swoich psów :-)
- Wakacje składkowe ZUS a zawieszenie działalności gospodarczej, czyli uważaj, bo być może nie będziesz mógł skorzystać (w 2024) - 1970-01-01
- Przykładowy kalkulator wyceny usługi druku 3D, czyli nie tylko materiał się liczy - 1970-01-01
- Home Assistant 2024.10, czyli nowa karta „nagłówek” i niedziałający TTS w ramach usługi Google Cloud - 1970-01-01
Ciekawe dlaczego nie włączyli te poprawienia bezpieczeństwa do wersji 5.0?
Albo nie zdążyli, a nie chcieli Gutenberga znowu przekładać, albo nie wiedzieli o tych błędach. Aktualizacje były i będą. Dobrze, że wypuścili też 4.9.9, bez zmuszania do przesiadki na 5.0.1 (ja cały czas z większością stron jeszcze czekam… ;-)).