- Statut : non résolu
- Ce sujet contient 8 réponses, 2 participants et a été mis à jour pour la dernière fois par luciole135, le il y a 9 années et 2 mois.
-
AuteurMessages
-
28 avril 2015 à 14 h 21 min #549372
Bonjour,
Les versions corrigées des failles XSS de sécyrité critique révélée le 27 avril 2015 appelées 3.7.8; 3.8.8 et 3.9.6 sont désormais disponibles en téléchargement depuis les pages d’adaptations de chacune des versions ici :– Pour WordPress 3.7.8 :
http://additifstabac.free.fr/index.php/installer-wordpress-3-7-1-basie-sur-les-pages-perso-de-free-fr/– Pour WordPress 3.8.8
http://additifstabac.free.fr/index.php/installer-wordpress-3-8-parker-sur-les-pages-perso-de-free/– Pour WordPress 3.9.6
http://additifstabac.free.fr/index.php/installer-wordpress-3-7-1-basie-sur-les-pages-perso-de-free-fr/Ainsi que dans la page annoçant les mises à jour de sécurité ici :
http://additifstabac.free.fr/index.php/faille-de-securite-critique-de-wordpress-corrigee/9 mai 2015 à 11 h 31 min #1003686Bonjour,
D’après le site anglais de WordPress, ces versions corrigent la faille publiée le 6 mai 2015. Pourtant ces versions ont été disponibles dès le 27 avril 2015 en version française. C’est à dire que normalement ces versions ne sont pas corrigées de la afille du 6 mai 2015.Et les notes de versions disent que ces versions corrigent la faille du 6 mai 2015
https://codex.wordpress.org/Version_3.7.8
https://codex.wordpress.org/Version_3.8.8
https://codex.wordpress.org/Version_3.9.6Du coup, je ne suis pas certain que ces versions 3.7.8; 3.8.8 et 3.9.6 corrigent la dernière faille du 6 mai 2015 puisqu’elle a été publiée après la sortie de ces versions.
D’autant plus que les versions 3.9.6 et 3.8.8 contiennent un fichier qui doit être supprimé dans le thème par défaut twenty-fourteen :
wp-content/themes/twentyfourteen/genericons/example.html (deleted)
Comme indiqué dans la note de version de 4.2.2, ici : https://codex.wordpress.org/Version_4.2.2#List_of_Files_Revised
C’est d’ailleurs ce que préconise le découvreur de la faille de sécurité, ici : Netsparker Web Scanner Automatically Identifies DOM XSS Vulnerability in WordPress Default Theme
J’ai vérifié avec Winmerge si les nouvelles versions anglaises publiées le 6 mai différent de celles publiées le 27 avril 2015 en français, et il apparait qu’elles sont identiques.
Donc cela pose plusieurs questions :
– Si elles sont vraiment identiques, pourquoi ont-elles été publiées une semaine plus tard par les anglais ?
– Si ces versions corrigent la faille du 6 mai 2015, pourquoi les Security Release du 27 avril 2015 ne corrigent pas cette même faille pour les versions 4.0; 4.1 et 4.2 ?J’ai ouvert une discussion sur le forum anglais de WordPress (en mauvais anglais) pour l’instant, pas de réponses :
WordPress 3.9.6; 3.8.8 and 3.7.8 have a critical XSS vulnerability?Dans tous les cas, il faut supprimer manuellement les fichiers suivants s’il existe puisque les mises à jour manuelles via FTP ne le supprimeront pas :
wp-content/themes/twentyfourteen/genericons/example.html
Alors, est-ce que la faille publiée le 6 mai 2015 est corrigée dans ces versions qui datent du 27 avril 2015 ?????
9 mai 2015 à 14 h 22 min #1003687Bonjour,
Le support anglais a répondu que la vulnérabilité était dans twenty-fifteen et pas dans twenty-fourteen.
Donc ces versions sont sûres.
Reste quand même à savoir pourquoi dans 4.2.2, les fichiers example.html sont supprimés de twenty-fourteen et twenty-thirteen (alors que ce n’est pas indispensable) !
Parfait !9 mai 2015 à 23 h 15 min #1003688Bonjour Lucile135,
Pouvez-vous aider sur ce post –> http://www.wordpress-fr.net/support/viewtopic.php?id=109029
Il n’arrive pas à installer WP sur Free …10 mai 2015 à 6 h 58 min #1003685Bonjour,
Non, je ne participe plus au forum support, désolé.
Je continue de partager les versions de WordPress adaptées à FREE ainsi que les plugins que j’ai écrit, ce qui est déjà chronophage et cela est suffisant. (Je ne participe pas à forum support qui a perdu l’esprit de partage au profit de celui du sens commercial.)Il existe sur ce forum des bénévoles qui en sont capables, si eux ne peuvent pas le faire, moi non plus.
Bonne journée
Cordialement14 mai 2015 à 7 h 09 min #1003689Bonjour,
J’ai ajouté sur chacune des pages de partage de la version adaptée aux pages perso de FREE, la procédure à suivre à suivre en cas de problème : contacter le forum USENET de support des pages perso de FREE (avec Tuto expliquant comment faire) ou ce forum ici même.Voici les liens direct vers chaque section :
Pour 3.7, c’est ici :
Que faire en cas de problème ?Pour 3.8 :
Que faire en cas de problème ?Pour 4.0 :
Que faire en cas de problème ?Pour 4.1 :
Que faire en cas de problème ?Pour 4.2 :
Que faire en cas de problème ?Pour la page listant toutes les versions corrigées des dernières failles, c’est ici :
Que faire en cas de problème ?14 mai 2015 à 14 h 40 min #1003690Merci pour ceux qui sont concernés, on pourra les orienter vers ce topic. 🙂
15 juin 2015 à 20 h 45 min #1003691Bonsoir,
Lionel Bernardi, administrateur des pages perso de FREE lance aujourd’hui la phase de alpha-test pour la nouvelle version de PHP 5.6.8 qui sera mise en place sur les pages perso de FREE.On notera que :
– memory_limit : 64 Mo ;
– post_max_size : 3 Mo ;Plus d’information ici : Migration des serveurs des Pages Perso de Free vers PHP 5.6.8
22 juillet 2015 à 18 h 33 min #1003692Aujourd’hui, mercredi 22 juillet à 15 40 min, Lionel Bernardi vient d’annoncer que la version PHP 5.6.8 beta est déployée sur tous les serveurs des pages perso de FREE.
Les versions originales de WordPress fonctionnent, il est inutile d’installer une version adaptée à PHP 5.1.3.
Je mets à disposition sur bitbucket.org un fichier « .htaccess » sécurisé et optimisé pour php 5.6.8 selon les conseils de « Al » du site les.pages.perso.chez.free .
Il est disponible à partir de cette page : Déploiement de la version PHP 5.6.8 beta sur tous les serveurs des pages perso de FREE.
-
AuteurMessages
- Le sujet ‘WordPress 3.7.8; 3.8.8 et 3.9.6 Security Release pour FREE’ est fermé à de nouvelles réponses.