XSS | WordPress.org Portugal

WordPress 3.3.2 (em Português) – Actualização de segurança

Publicado em 20 Abril, 201220 Abril, 2012 por WordPress Portugal.Anúncios3.3.2, Segurança, XSSDeixe um comentário

Já está disponível a versão 3.3.2, uma actualização de segurança para todas as versões anteriores; consulte o site da Comunidade Portuguesa para mais informações.

WordPress 3.3.1 (em Português) – Actualização de segurança

Publicado em 4 Janeiro, 201220 Abril, 2012 por WordPress Portugal.Anúncios3.3.1, Segurança, XSSDeixe um comentário

Já está disponível a versão 3.3.1 do WordPress, também em Português (Europeu). Esta versão corrige 15 problemas da versão 3.3 e também uma vulnerabilidade de XSS. Obrigado a Joshua H., Hoang T., Stefan Zimmerman, Chris K. e à equipa de segurança do Go Daddy por terem responsavelmente discutido este erro com a equipa de segurança do WordPress.

WordPress 2.8.6 – Actualização de Segurança

Publicado em 13 Novembro, 200927 Julho, 2011 por WordPress Portugal.Segurançaprivilégios, Segurança, WordPress 2.8.6, XSSDeixe um comentário

A versão 2.8.6 corrige dois problemas de segurança que podem ser explorados utilizadores registados, com sessão iniciada e que têm permissões de publicação. Se não tem confiança completa nos autores do seu blog, a actualização para a versão 2.8.6 é recomendada.

O primeiro problema é uma vulnerabilidade de XSS na funcionalidade Press This, descoberta por Benjamin Flesch. O segundo problema, descoberto por Dawid Golunski, é um problema com o saneamento de nomes de ficheiros em upload, que pode ser explorado com determinadas configurações do Apache. Obrigado ao Benjamin e Dawid por identificarem e reportarem as vulnerabilidades.

WordPress 2.8.2, também em Português

Publicado em 20 Julho, 200927 Julho, 2011 por WordPress Portugal.Anúncios, SegurançaSegurança, WordPress 2.8.2, XSSDeixe um comentário

O WordPress 2.8.2 corrige uma vulnerabilidade de XSS. Os URL dos autores de comentários não estavam a ser devidamente formatados quando apresentados no painel, o que poderia ser usado para um exploit redireccionando o utilizador para outro site. Faça download da versão 2.8.2 ou actualize o seu WordPress automáticamente a partir do painel.

[Fonte: Comunidade Portuguesa de WordPress]

Disponível WordPress 2.6.5, também em português

Publicado em 25 Novembro, 200827 Julho, 2011 por WordPress Portugal.Anúncios, Segurança2.6.5, Segurança, XSSDeixe um comentário

Está disponível o WordPress 2.6.5, também em português. Esta versão corrige um problema de segurança e três bugs, e a actualização é recomendada.

O problema de segurança é um exploit de XSS, descoberto por Jeremias Reith, que felizmente só afecta servidores virtuais em Apache 2.x. Para quem estiver interessado apenas na correcção desse problema basta copiar os ficheiros wp-includes/feed.php e wp-includes/version.php do pacote da versão 2.6.5.

A 2.6.5 contém ainda pequenas correcções de três bugs; a primeira impede que seja acidentalmente salvada meta-informação de um post numa revisão. A segunda impede o protocolo XML-RPC ler tipos de posts incorrectos. A terceira adiciona alguma validação do ID de utilizador durante eliminações em massa. Para obter uma lista de arquivos alterados, consulte o changeset da 2.6.3 para a 2.6.5.

Note que se está a saltar a versão 2.6.4, para evitar confusões com uma falsa 2.6.4 hackada que andou por aí. Para que fique claro, não há nem nunca houve uma versão 2.6.4 do WordPress.