Внеплановое обновление WordPress 2.6.2 до 2.6.3
Скачать
Патч для обновления WordPress 2.6.2 до WordPress 2.6.3
Дистрибутив версии 2.6.2 также обновлен до версии 2.6.3
Скачать
Дистрибутив версии 2.6.2 также обновлен до версии 2.6.3
ОБНОВЛЕНО 26 ноября 2008 г. Выпущено
Информация об изменениях в версии 2.6.5 по сравнению с 2.6.3
Перевод официальной новости: Обнаружен XSS эксплоит, который к счастью затрагивает только IP-based сервера под управлением Apache 2.x. Если нужно исправить только эту проблему, скопируйте файлы wp-includes/feed.php и wp-includes/version.php из дистрибутива версии 2.6.5 в вашу установленную 2.6.3
Кроме этого исправления есть изменения в других файлах, исправляющие несколько мелких багов:
Имейте в виду, что мы пропускаем версии 2.6.4 и переходим сразу на 2.6.5 с 2.6.3, чтобы избежать путаницы с поддельной 2.6.4 (информация о ней недавно была опубликована в новостях WordPress). Версии 2.6.4 никогда не было и не будет.
ОБНОВЛЕНО 24 октября 2008 г. Выпущено
Т.к. ранее здесь располагалась версия 2.6.2, то ниже идет большая часть текста про нее: Данный релиз выпущен для исправления уязвимости в SQL и слабости генератора случайных чисел mt_rand (). Вам обязатательно нужно установить это обновление если вы разрешили регистрацию в своем блоге. Суть проблемы заключается в том, что любой зарегистрированный пользователь в WordPress 2.6.1 и ранее может «сбросить» пароль любого другого пользователя на случайно сгенерированный пароль. Злоумышленник не узнает ваш пароль, но это может доставить вам неудобства при работе с блогом. Однако эта «атака» вместе со слабостью генератора mt_rand() может быть использована для прогнозирования случайно создаваемого пароля. Атака трудна, но теоретически возможна, поэтому разработчики настоятельно рекомендуют установить обновление пользователям WordPress 2.6.1 ( и естественно 2.6).
Продолжить чтение →