Da qualche ora appare sulla vostra bacheca ed è disponibile per il download la versione 3.3.1 di WordPress. SI tratta di un release di manutenzione che corregge 15 problemi di WordPress 3.3 ma sopratutto corregge una vulnerabilità relativa al cross-site scripting (XSS) riguardante la versione 3.3. Grazie a Joshua H., Hoang T., Stefan Zimmerman, Chris K. ed al team si sicurezza di Go Daddy per aver segnalato il problema al security team di WordPress.

Come ogni release di sicurezza la sua installazione è fortemente consigliata anche negli ambienti di produzione italiani, non essendovi modifiche alle stringhe di traduzione la release dovrebbe rimanere completamente in italiano entro un paio di giorni sarà comunque disponibile la versione italiana.

Ogni richiesta di supporto dovrà avvenire SOLO tramite il nostro forum, commenti a questo articolo con richieste di aiuto o verranno ignorati o cancellati. Si ricorda che è opportuno SEMPRE effettuare un backup completo sia del proprio spazio web che del database prima di procedere a qualsiasi aggiornamento

É uscito WordPress 3.0.3, (poi magari ritorna), un altro security FIX.

Se avete attivato la pubblicazione remota è possibile che qualcuno senza i corretti permessi possa modificare o cancellare post altrui.

Aggiornate pure alla versione inglese, non dovrebbero esserci stringhe modificate, potrete poi aggiornare di nuovo alla versione italiana non appena questa verrà resa disponibile, installare la versione inglese NON crea alcun problema e non elimina la localizzazione in Italiano.

Per ogni problema c’è il forum, non faremo assistenza nei commenti a questo post.

Via WordPress.org

Nuovo aggiornamento di sicurezza per WordPress.

Vengono corretti due bug di sicurezza:

Il primo è un problema di sicurezza XSS nel “press this” o “pubblicalo” nella versione italiana

Il secondo riguara i file caricati su particolari configurazioni di Apache.

Entrambi i bug sono utilizzabili solo da utenti registrati con permessi di pubblicare, quindi se avete utenti dei quali non vi fidate aggiornate immediatamente.

Potete come sempre utilizzare la funzione di aggiornamento automatico.

A breve seguirà la versione italiana.

Download WordPress 2.8.6

Fonte: WordPress.org

Sul forum ufficiale di wordpress si continua a leggere di blog, normalmente rimasti alla versione 2.5.1, che ricevono l’avviso di aggiornare alla versione 2.6.4.

Bene questa versione NON esiste e se avete questo avviso significa che il vostro blog è stato compromesso.

Se clikkare sul link per il download scaricherete una versione di wordpress dal sito worpdresz.org chiaramente finto.

Quindi COME SEMPRE SUGGERIAMO, fate subito tutti gli aggiornamenti di sicurezza appena escono.

ALcuni link utili:

http://www.craigmurphy.com/blog/?p=874

http://www.securityfocus.com/archive/1/490887/30/0/threaded

http://www.sophos.com/security/blog/2008/11/1942.html

Leggendo i vari articoli sembrerebbe che ad essere soggetti a questi attacchi siano i blog con più di 5 utenti.

(N.d.t. – Peter Westwood ha rilasciato ieri 3 weekly digest che coprono le ultime settimane, abbiamo scelto di accorparle in un unico articolo, visto il rilascio della versione 2.5 avvenuta nella giornata di ieri.)

Le modifiche delle ultime settimane sono state:

• Aggiunta la sanitizzazione a get_link() e get_link_to_edit() (#6125).
• phpDoc con info di copyright e licenza per le librerie ftp esterne (#6155).
• Miglioramento dei “self link” per i feed (#5238).
• Introduzione di un selettore di schema colore per utente per l’interfaccia amministrativa (#6167).
• Modifiche per spostare l’hook restrict_manage_posts nuovamente all’interno del modulo (#6196).
• Un nuovo filtro permette ai plugin di filtrare i dati dei pingback (#3525).
• Miglioramenti al file di esportazione per includere maggiori informazioni nelle sezioni CDATA in modo da produrre un codice xml maggiormente valido. (#4242).
• Modifiche a wp_nonce_field(), wp_referrer_field() e wp_original_referer_field() affinché possano restituire l’output anzichè farne l’echo (#3628).
• Passaggio da addLoadEvent a jQuery(document).ready per avviare il codice javascript (#6241).
• Miglioramenti all’importatore MT per consentire l’importazione delle keyword come tags (#4472).
• Aggiornamento a TinyMCE 3.05 (#6195).
• Aggiunta del supporto agli avatar ai temi default e classic ([7360], [7361]).
• Molti nuovi attributi ai titoli per migliorare l’accessibilità della Gestione pagine (#6082).
• Aggiunta della sanitizzazione alle opzioni dei valori per add_option (#5209).
• Aggiunta di molti tab index alle schermate di creazioni di Articoli e Pagine per rendere più semplice la navigazione (#6352).
• Una correzione per assicurarsi di preservare le entità HTML nei Campi Personlizzati (#6374).
• Pretty permalink per le tassonomie (#6357).
• Modifiche alla pagina di login per il codice di reindirizzamento per assocurarsi di onorare redirect_to per gli utenti già collegati (#6385).
• Un nuovo filtro per consentire ad un plugin di forzare l’attivazione/disattivazione del flash uploader (#6406).
• Passaggio all’utilizzo di is_numeric() al posto di ctype_digit() (#5481).
• Una modifica al codice di gestione dei trackback per ignorare i trackback che richiedono UTF-7 ([7559]).
• Altro lavoro sul sistema di aggiornamento dei plugin (#5586).
• Altri aggiornamenti alla nuova libreria media (#5911).
• Moltissimi aggiornamenti al nuovo stile di amministrazione.

Per ulteriori informazioni sugli altri piccoli cambiamenti avvenuti in questo periodo fate riferimento alla più completa last 3 week trac timeline.

Tagged with: css, moveable type, phpdoc, stylesheet, tinymce, wordpress-2.5, xml

[via westi on wordpress]