Przy okazji artykułu o gutenbergowej aktualizacji WordPressa (5.0) wspomniałem, że ja się z aktualizacją wstrzymam kilka dni, i pewnie do tego czasy wyjdzie już 5.0.1, a może i dalej. Ja się cały czas wstrzymuje, ale wersja 5.0.1 wyszła, i przynosi sporo poprawek – również bezpieczeństwa. Na szczęście dla takich jak ja wyszła też wersja 4.9.9, która również łata podatności, a nie wprowadza Gutenberga.
WordPress 5.0.1 i 4.9.9
Oczywiście to nie jest tak, że w ramach jakiegoś buntu zostanę na swoich stronach ze starą wersją. Aktualizacja mnie czeka, raczej nie ma od niej ucieczki, ale uznałem, że dam trochę czasu społeczności na lepsze przetestowanie nowej wersji. Zresztą na mojej wersji deweloperskiej (do testów) widzę, że jeszcze nie wszystkie wtyczki w 100% zostały dopasowane do zmian jakie nastąpiły wraz z nadejściem nowego edytora blokowego.
Odnaleziono i załatano następujące podatności:
- Authenticated File Delete
- Authenticated Post Type Bypass
- PHP Object Injection via Meta Data
- Authenticated Cross-Site Scripting (XSS)
- Cross-Site Scripting (XSS) that could affect plugins
- User Activation Screen Search Engine Indexing
- File Upload to XSS on Apache Web Servers
- Import Cross-Site Scripting (XSS)
Wprawdzie nie ma tu nic, co by sprawiło, że moje serce jakoś szybciej zabiło, ale też chyba dawno nie było aż tak rozległej aktualizacji bezpieczeństwa. Zwłaszcza, że cały czas napływają raporty o kolejnych błędach, więc coś czuje, że będę ten artykuł jeszcze aktualizował…
Co istotne, to wymienione błędy (podatności) nie dotyczą tylko WordPressa w wersji 5.0, ale i starszych wersji. Dlatego jeśli ktoś nie chce (jeszcze) wersji 5 (5.0.1 po aktualizacji), to powinien dokonać aktualizacji do wersji 4.9.9, o ile taka aktualizacja nie wykonała się automatycznie.
Pasjonat nowych technologii - od sprzętu po oprogramowanie, od serwerów po smartfony i rozwiązania IoT. Potencjalnie kiepski bloger, bo nie robi zdjęć "talerza" zanim zacznie jeść.
Dumny przyjaciel swoich psów :-)
- Wtyczka BackWPup w wersji 5.x to doskonały przykład, jak wylać dziecko z kąpielą i z relatywnie świetnego narzędzia zrobić właściwie bezwartościowego gniota - 1970-01-01
- Testowy przelew w Bitcoinach z najniższą prowizją, czyli krótka historia o tym, jak zamroziłem BTC na (ponad) rok - 1970-01-01
- Nowy system kopii zapasowych w Home Assistant 2025.1 to zapewne krok w dobrym kierunku, ale zdecydowanie przedwczesny - 1970-01-01
Ciekawe dlaczego nie włączyli te poprawienia bezpieczeństwa do wersji 5.0?
Albo nie zdążyli, a nie chcieli Gutenberga znowu przekładać, albo nie wiedzieli o tych błędach. Aktualizacje były i będą. Dobrze, że wypuścili też 4.9.9, bez zmuszania do przesiadki na 5.0.1 (ja cały czas z większością stron jeszcze czekam… ;-)).