WordPress 4.0.1安全更新

WordPress 4.0.1现已发布,这是一次对所有较早版本的重要安全更新,我们强烈建议您立即升级您的站点。

支持后台自动更新的站点将在未来几个小时内被自动升级到WordPress 4.0.1。如果您仍在使用WordPress 3.9.2、3.8.4或3.7.4,请升级到3.9.3、3.8.5或3.7.5来保证您站点的安全性。(我们不对旧版本提供支持,所以也请考虑升级到4.0.1来使用我们最新最强大的版本。)

WordPress 3.9.2与更早版本均受一严重的跨站脚本漏洞影响,可能使匿名用户危害站点安全。此漏洞由Jouko Pynnonen报告。这项问题并不影响4.0版,但4.0.1版也修正了如下8个安全问题:

  • 三个可被网站文章作者利用的跨站脚本问题,由Jon CaveRobert Chapin与WordPress安全团队的John Blackbourn发现。
  • 一个可能被用来诱使用户修改密码的跨站请求伪造。
  • 一项在检查密码时可能引发拒绝服务的问题,由Javier Nieto ArevaloAndres Rojas Guerrero发现。
  • 在WordPress发起HTTP请求时对服务器侧请求伪造攻击的额外防护,由Ben Bidner(vortfu)报告。
  • 一项极不可能发生的散列碰撞,可能导致2008年之后从未登录过的账户被盗,由David Anderson报告。
  • WordPress现在会在用户想起密码、登录并修改电子邮件地址后使早前发出的密码重设邮件中的链接失效,由Momen BasselTanoy BoseManageWP的Bojan Slavković独立报告。

4.0.1版也修正了4.0中的23个bug,我们也做出了两项强化修改,包括在从上传的照片中提取EXIF数据时进行更好的验证,由Chris Andrè Dale报告。

我们感谢这些问题被负责任地透漏给我们的安全小组。要获取更多信息,请参见发布说明或查阅修改列表

下载WordPress 4.0.1简体中文版或在仪表盘→更新中点击“现在更新”。

已经在测试WordPress 4.1了?包含这些安全更新的beta 2现已发布(zip)。更多有关4.1的信息,请参见beta 1发布说明

WordPress 3.6.1维护和安全更新

在WordPress 3.6有了近七百万次下载之后,我们高兴地发布了3.6.1版。这个维护性更新修正3.6版中的13个bug

WordPress 3.6.1也是对之前所有WordPress版本的安全修正,我们强烈推荐您升级您的站点。这次发布包含了我们的安全团队做出的三项修正:

  • 阻止一些情形中可能出现的不安全的PHP反序列化,这可能导致远程代码执行。由Tom Van Goethem报告。
  • 防止”作者”用户通过一个特制的请求来创建“由其他用户创作”的文章。由Anakorn Kyavatanakij报告。
  • 修正了可能导致用户被重定向到引导到其他网站的一处输入验证不足。由Dave Cummo,Northrup Grumman的美国疾病控制和预防中心分包商报告。

此外,我们也调整了上传文件时的安全限制,来防止可能出现的跨站脚本。

我们感谢这些问题被负责任地透漏给我们的安全小组。要获取更多资讯,请参见发布说明或查阅修改列表

下载WordPress 3.6.1 (简体中文版)或到管理后台的“仪表盘”→“更新”来升级。

WordPress 3.5.2 安全和维护更新

WordPress 3.5.2 简体中文版现已可用。这是 3.5 版本的第二个维护性发布,修复了 12 个 bug这是对所有之前版本的安全更新,我们推荐您立即升级您所有的站点。WordPress 安全小组解决了 7 项安全问题,并且这次发布也包含了其他一些安全强化措施。

安全修复包括:

  • 阻止了服务器端伪造请求攻击。该问题可能使得攻击者取得网站的权限。
  • 禁止了贡献者不适当地发布文章或修改文章的作者,分别由 Konstantin KovsheninLuke Bryan 报告。
  • 更新了 SWFUpload 外部库来修复跨站脚本隐患,由 mala 和 Szymon Gruszecki 报告。
  • 阻止了一种拒绝服务攻击,这种攻击可能影响到使用受密码保护的文章的网站。
  • 更新了 TinyMCE 外部库来修复跨站脚本隐患,由 Wan Ikram 报告。
  • 修复了多种跨站脚本,由 Andrea Santese 和 Rodrigo 报告。
  • 避免了在文件上传失败时透露完整路径,由 Jakub Galczyk 报告。

我们感谢将这些问题负责任地透漏给我们的安全小组。要获取更多资讯,请参见发布说明或查阅修改列表

下载 WordPress 3.5.2简体中文版)或到管理后台的“仪表盘”→“更新”来升级。

此外: WordPress 3.6 Beta 4: 如果您在测试 WordPress 3.6,请留意 WordPress 3.6 Beta 4(zip)修复了这些安全问题。

WordPress 3.5.1

WordPress 3.5.1 简体中文版本现已可用。版本修复 37 个问题。这也是一个安全更新。完整的问题列表请参见 ticket 列表changelog。梗概如下:

  • 编辑器:解决 HTML 元素可能意外消失的问题。
  • 多媒体:修正若干小工作流程问题和兼容性问题。
  • 多站点:在创建新网络的时候提示使用正确的重写规则。
  • 避免定时发布的一些 HTML 标签在发布时消失的问题。
  • 临时解决了错误配置可能造成的仪表盘 JavaScript 异常的问题。
  • 隐藏了插件错误使用数据库或用户 API 时的警告。

由于一个程序问题,Windows 上运行 IIS 的用户无法自动从 3.5 升级到 3.5.1。参见热心用户翻译的文档来手动升级。

WordPress 3.5.1 解决的安全问题如下:

  • 使用 pingback 的远程端口扫描问题。该问题可能导致服务器信息泄露,或被攻击。这个问题影响所有的 WordPress 版本。特别感谢安全研究员 Gennady Kovshenin 和 Ryan Dewhurst 评估我们的工作。
  • shortcode 和文章内容的两处跨站攻击漏洞。由 WordPress 安全小组 Jon Cave 发现。
  • 外部库 Plupload 的跨站漏洞。感谢 Moxiecode 开发者和我们一起研究、解决问题,感谢他们发布 Plupload 1.5.5。

现在下载 3.5.1,或到“仪表盘” → “更新”来升级。

WordPress 3.4.2

WordPress 3.4.2 现已发布。3.4.2 版本是个维护版本,包含对先前所有版本的安全更新。

在短短的不到三个月的时间里,WordPress 3.4 系列已经创造了近一千五百万次下载的佳绩,其中简体中文版本贡献了五百余万次的下载。本次包含的修正有:

  • 解决老旧浏览器使用后台时可能遇到的问题。
  • 解决主题预览和/或截图显示不正确的问题。
  • 增强了可视化编辑器的插件兼容性。
  • 解决了某些固定链接包含分类目录的站点可能遇到的分页问题。
  • 优化了代码,避免 oEmbed 提供商和 trackback 出错。
  • 禁止了大小不正确的顶部图像的上传。

3.4.2 版本还解决了一些安全问题。之前版本可能遇到的问题有:用户越权等。本次的安全问题全部是由 WordPress 的安全小组发现的。

下载 3.4.2 版本,或通过您的“仪表盘” → “更新”来自动升级。

WordPress 3.3.2

WordPress 3.3.2 现已推出。这是对以往版本的安全更新。

如下 WordPress 包含的外部库推出了安全更新:

  • Plupload(1.5.4 版本) — WordPress 用它来完成媒体文件的上传。
  • SWFUpload — WordPress 原先使用的库,用于上传媒体文件,一些插件可能仍在使用它。
  • SWFObject — WordPress 原先用来嵌入 Flash 内容的库,一些插件和主题可能仍在使用它。

感谢 Neal Poole 和 Nathan Partlan 向我们安全小组的反馈关于 Plupload 和 SWFUpload 的问题。感谢 Szymon Gruszecki 找出了另一个 SWFUpload 问题。

WordPress 3.3.2 一并修补了如下问题:

  • 在 WordPress “站点网络”功能启用的环境下,站点管理员有可能在整个站点网络范围停用某个插件。多谢安全小组 Jon Cave 和 Adam Backstrom
  • URL 自动链接的算法可能允许跨站脚本攻击。这个问题是 Jon Cave 找到的。
  • 过滤 URL 的算法可能允许跨站脚本攻击。感谢 Mauro Gentile 向安全小组的热心反馈。

上述问题是 WordPress 安全小组修复的。本版本另修复了 5 个非安全问题。详情请参见修订日志

下载 WordPress 3.3.2,或从您站点的“仪表盘” → “更新”菜单升级。

WordPress 3.3.1 安全和维护更新

WordPress 3.3.1 现已发布。本维护版本修复了 3.3 版本的 15 处问题,另外还有一个影响了 3.3 的跨站脚本攻击漏洞。感谢 Joshua H.、Hoang T.、Stefan Zimmerman、Chris K. 和 Go Daddy 安全小组向我们的安全团队上报该问题。

下载 3.3.1,或通过您站点后台的“仪表盘” → “更新”来升级。

WordPress 3.1.4

WordPress 3.1.4 及其中文版本现已发布,它是一个针对以往所有版本的维护和安全更新。

这个版本主要修补了一个权限漏洞:编辑者权限的用户可能获得站点的更高权限。感谢 SEC Consult 的 K. Gudinavicius 向我们提供这一信息。3.1.4 版本还处理了其它一些安全问题。这些问题是由我们的安全小组成员、WordPress 开发者 Alexander Concha 和 Jon Cave 发现的。您可浏览更新日志(英文)以了解详情。

在此下载 3.1.4 版本,或尽快在站点后台“控制板” → “更新”进行升级。

WordPress.org 密码重置

今天早些时候,WordPress 开发团队注意到部分热门插件(AddThis、WPtouch 及 W3 Total Cache)的代码库中出现可疑的代码提交,且包含伪装巧妙的后门。开发团队断定,这些代码的提交操作并非出自作者之手,因此将代码库回滚,并为这些插件推送更新。同时开发团队也关闭了插件代码库的存权限,继续查找其他可疑内容。

开发团队尚在研究具体情况,但作为预防措施,他们决定强制所有 WordPress.org 用户重置密码。用户在使用论坛、trac 或对插件或主题提交代码之前均需重置密码。(bbPress.org 与 BuddyPress.org 也受到影响)

作为用户,请确保同一密码不用于多个服务。开发团队还奉劝用户不要重置为原密码。

其次,如果安装有 AddThisWPtouch 或 W3 Total Cache 并有可能在过去一天内进行了更新,请确保访问更新页面并升级各插件为最新版。

参见 WordPress Development Blog,多谢 xslidian 提供翻译稿。

WordPress 3.1.2

WordPress 3.1.2 现已发布,修补了先前版本中的安全漏洞。

之前版本中,投稿者级别的用户可以通过某种不正当方法发布文章。

问题是由我们的安全团队成员、WordPress 开发者 Andrew Nacin 和 Benjamin Balter 共同发现的。

我们建议您尽快更新,尤其是对于那些将默认用户角色设为了投稿者的站点。除此之外,本次更新还解决了一些没有来得及在 3.1.1 版本中修复的问题(英文)。

下载 3.1.2 版本,或通过站点后台“控制板” → “更新”来升级。

更新的文件列表,请参见文档。本次变动的文件较少,因此在网络连接不好的情况下,您可以手动更新。