Neuplynul ani dva týdny a proběhla další rychlá aktualizace WordPress s číslem 4.2.4. Aktualizované byly samozřejmě také další starší podporované verze (3.7.10, 3.8.10, 3.9.8, 4.0.7, 4.1.7). Pokud používáte starší měli byste vážně zvážit přechod na novější, protože ty jsou stále zranitelné. U 4.2.4 se jednalo hlavně o bezpečnostní update. Celkem bylo opraveno šest potenciálních bezpečnostních slabin. Potenciálních, protože k jejich reálnému zneužití musí dojít k souhře určitých událostí, často dost nepravděpodobných.

V třech případech se jednalo o XSS (cross-site scripting). Tedy vložení škodlivého kódu do stránky, který po aktivaci mohl provést nějaký úkon prostřednictvím přihlášeného uživatele. Například osoba s oprávněním administrátora by nevědomky vytvořila nového uživatele s administrátorským oprávněním.

Další bezpečnostní chyba umožňovala potenciální SQLi (SQL injection). Což je vložení speciálního kusu kódu do SQL dotazu. Ten směřuje na databází a umožní útočníkovi tak například v databázi něco změnit. Nutno podotknout, že chyba je pouze teoretická.

Pátá bezpečnostní díra umožňovala takzvaný Timing side channel attack. Jedná se o formu útoku, kdy útočník analyzuje čas potřebný ke šifrování či dešifrování řetězce.

Poslední potenciální chyba umožňovala útočníkovi uzamknout příspěvek před další editací. Takže oprávněná osoba nemohla upravovat již napsaný příspěvek.

Součástí aktualizace jsou i čtyři opravy chyb. Jedna se týká databáze a kódování, druhá funkce glob(), která nemusí vrátit pole (array), třetí a čtvrtá shortcodes a kterými byl při aktualizaci 4.2.3 poměrně problém a některé pluginy a šablony přestaly fungovat.

Co jsem procházel diskuze a fóra, tak nebyla objeven žádný problém či nekompatibilnost s touto aktualizací. Vše funguje jak má.

Samozřejmě se těšíme na WordPress 4.3, který by měl vyjít 18. srpna. Na ten se všechny současné aktualizace vztahují také 🙂

Tento článek byl byl přečten 2105 krát