重要安全更新 WordPress 3.5.2 发布

WordPress 3.5.2 已经发布了。这是一个 3.5 版的维护更新,修正了 12 个 bugs因为是针对所有以前版本的安全更新,所以官方强烈建议大家立即更新自己的网站。 WordPress 安全团队解决了 7 个安全相关的问题,同时此次更新还包含了一些其它的安全增强。

修复的安全问题包括:

  • 阻止服务器端请求伪造攻击,该攻击可能会使得攻击者获取网站的访问权限。
  • 禁止投稿者不当地发布文章或者重新设定文章作者。
  • 更新 SWF 上传外部库以修正可能的跨站脚本漏洞。
  • 防止一种拒绝服务攻击(DOS),该攻击会影响那些使用了密码来保护文章的站点。
  • 更新外部 TinyMCE 库以修正一种可能的跨站脚本漏洞。
  • 针对跨站脚本的多个修复。参见 Andrea Santese 和 Rodrigo 的报告。
  • 避免上传失败时暴露文件的详细路径。

WordPress 安全团队希望大家能够将安全方面的问题直接报告给他们。如果希望了解更多此次更新的详细信息,可以参考  release notes 或咨询 the list of changes

直接从网站管理后台的仪表盘(Dashboard) → 更新(Updates)菜单升级,或者下载下载 WordPress 3.5.2 (简体中文版)后手动升级吧。

同时,WordPress 3.6 Beta 4 也已经放出。如果你正在测试 WordPress 3.6,请注意, WordPress 3.6 Beta 4(zip 下载)也包含了上述安全更新。

似乎离 WordPress 3.6 正式发布也不远了。如果不是有那么多的潜在安全问题,还是懒得再更新呢。©

本文发表于水景一页。永久链接:<http://cnzhx.net/blog/wordpress-3-5-2-released/>。转载请保留此信息及相应链接。

雁过留声,人过留名

您的邮箱地址不会被公开。 必填项已用 * 标注

特别提示:与当前文章主题无关的讨论相关但需要较多讨论求助信息请发布到水景一页讨论区的相应版块,谢谢您的理解与合作!请参考本站互助指南
您可以在评论中使用如下的 HTML 标记来辅助表达: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>