30
בדצמ
2010

וורדפרס 3.0.4 – עדכון אבטחה קריטי נוסף

מאת: מאור ברזני | תגובות: 5 | נושאים: וורדפרס
תגיות: , , |

וורדפרס 3.0.4 עדכון אבטחה קריטי עדכון אבטחה נוסף – וורדפרס, 3.0.4 –  שוחרר אמש (רביעי) וזמין להורדה. בבלוג הרשמי של וורדפרס נכתב כי "זהו עדכון חשוב מאוד שכדאי להתקינו בהקדם האפשרי, מאחר שהוא מתקן חור אבטחה בליבת המערכת". עוד נכתב בבלוג הרשמי כי דירוג העדכון נחשב קריטי.

מדובר בחור אבטחה שנמצא במנגנון ניקוי הקוד (HTML sanitation) של וורדפרס, הנקרא KSES. KSES הוא למעשה מנגון פילטור ה-html של וורדפרס, שנועד לפלטר מחרוזות שעלולות להיות בעייתיות ולהכיל קוד זדוני ולייצר פריצות לאתר מסוג XSS (cross site scrripting). עוד על עבודה עם KSES אפשר לקרוא בבלוג של אוטו, ממפתחי ליבת וורדפרס.

השינויים שבוצעו הם במספר שורות בפונקציות הליבה של המערכת. בבלוג הרשמי של וורדפרס נכתב עוד כי חוקרי אבטחה מוזמנים לעבור על השינויים ולעשות code review לעדכון. "השקענו בכך הרבה מחשבה ובדיקות, אך מכיוון שמדובר בשינוי כה ליבתי, אנו רוצים על זה מוחות רבים ככל האפשר", נכתב בבלוג.

את חורי האבטחה מצאו שני סטודנטים, Jon Cave (duck_) סטודנט למדעי המחשב מבריטניה ו- Mauro Gentile, סטודנט להנדסת מחשבים בן 22 מאיטליה.

זהו עדכון האבטחה השלישי של וורדפרס בתוך חודש אחד. בתחילת החודש יצאו עדכוני אבטחה נוספים בגרסאות וורדפרס 3.0.2 ו-וורדפרס 3.0.3. מפתחי וורדפרס מרחבי העולם ממשיכים במאמצים המתמידים למצוא פרצות אבטחה, הקיימות בכל תוכנה ומערכת מחשב, כדי לסתום אותם ולהשביח את איכות האבטחה של המערכת ולהבטיח מערכת מאובטחת ככל האפשר ברמות גבוהות.

בקרוב עתידה לצאת גרסת וורדפרס 3.1, ובה מספר פיצ'רים חדשים. גרסה זו היתה צפויה לצאת כבר במהלך חודש דצמבר, אך לאחרונה דווח בבלוג המפתחים של וורדפרס כי בשל מיעוט מפתחי ליבה בשלב הזה, לעומת הכמות שהיתה בשנה שעברה טרום שחרורה של וורדפרס 3.0, מתעכב שחרור הגרסה החדשה ולא יקרה לפני תחילת שנת 2011. גרסה "טרום שחרור" (RC)  של וורדפרס 3.1 שוחררה לבדיקות לפני ימים אחדים.


שתפו גם אחרים:
  • email
  • Print
  • RSS
  • Facebook
  • Twitter
  • LinkedIn
  • Google Bookmarks
  • Live
  • PDF
  • MySpace
  • del.icio.us
  • Digg
  • Technorati
  • Yahoo! Bookmarks
  • Yahoo! Buzz
  • Add to favorites

5 תגובות »

  • אוריאל הגיב:

    הי,
    תודה על העדכון.

    ניסיתי לעשות עדכון אוטומטי ואני מקבל שגיאה –

    Fatal error: Out of memory (allocated 29622272) (tried to allocate 3325451 bytes) in /homepages/43/d173496313/htdocs/mydomain.org/wp-includes/class-http.php on line 1402

    ראיתי בפורומים שממליצים להוסיף ל
    wp-config.php
    define('WP_MEMORY_LIMIT', '64M');

    או לחלופין לשים משהו בסגנון ב
    HTACCESS

    כמו כן, המליצו לנטרל תוסף
    ALL IN ONE SEO

    אבל שום דבר מהנל לא עבד.

    אם יש לך כיוון, אשמח לשמוע!
    תודה
    .-= פורסם לאחרונה אצל אוריאל.. ‫כלבלב מתנה‬ =-.

    • אם ניסית את כל זה ולא עזר, נסה זמנית להוסיף לקובץ wp-config.php את השורה הזאת –

      set_time_limit(0);

      למרות שהודעת השגיאה שלך לא מתייחסת לטייאאוט אלא לזיכרון.
      אם זה לא עוזר – נסה לכבות את כל התוספים (לא רק את AIO SEO) ולבדוק שוב.
      אם גם זה לא עוזר – פנה לספקית האחסון שלך, ייתכן שיש בעיה בהקצאת זיכרון ע"י השרת.
      היכן האתר מאוחסן?

  • search people הגיב:

    אתה תותח וואלה אתה עוזר לי המון

  • זיו לפיד הגיב:

    תודה על המידע החשוב

פיד RSS לתגובות בפוסט | טראקבק


הוסף תגובה

CommentLuv badge

TechnoCraft - פתרונות אינטרנט


אֶקְסְפֶּרִימֶנְט דוֹט אֶפֶס - וורדפרס, תוכן, טכנולוגיה ועוד כמה דברים - מופעל באמצעות WordPress | פתרונות אינטרנט