- Statut : non résolu
- Ce sujet contient 3 réponses, 1 participant et a été mis à jour pour la dernière fois par
, le il y a 8 années et 2 mois.
-
Messages
-
Bonsoir,
Voici les versions WordPress 4.0.4 et 4.1.4 corrigés d’une deuxième faille XSS de sécurity critique publié aujourd’hui 27 avril 2015.
Voir : WordPress 4.2.1 Security ReleaseCes versions sont disponibles en téléchargement depuis les pages de présentations des adaptations de WordPress ici :
– Pour WordPress 4.1.4 :
http://additifstabac.free.fr/index.php/installer-wordpress-4-1-dinah-pages-perso-de-free/– pour WordPress 4.0.4 :
http://additifstabac.free.fr/index.php/installer-wordpress-4-0-benny-sur-les-pages-perso-de-free/#telechargementAinsi que dans la page présentant les adaptations de la précédente faille XSS de sécurité ici :
http://additifstabac.free.fr/index.php/faille-de-securite-critique-de-wordpress-corrigee/Cordialement
L’équipe de développement de WordPress montre une très grande légèreté dans la gestion des failles de sécurité.
Sur le site du découvreur de la faille, on peut lire :
http://klikki.fi/adv/wordpress2.html« WordPress has refused all communication attempts about our ongoing security vulnerability cases since November 2014. We have tried to reach them by email, via the national authority (CERT-FI), and via HackerOne. No answer of any kind has been received since November 20, 2014. According to our knowledge, their security response team have also refused to respond to the Finnish communications regulatory authority who has tried to coordinate resolving the issues we have reported, and to staff of HackerOne, which has tried to clarify the status our open bug tickets.
To prevent exploitation, administrators should disable comments (Dashboard, Settings/Discussion, select as restrictive options as possible). Do not approve any comments. »
On attend toujours la correction des versions 3.7; 3.8 et 3.9 par l’équipe de développement !
Le plugin « antispam 3.5 » livré avec toutes les versions adaptées aux pages perso de FREE 3.7.7; 3.8.7; 3.9.5; 4.0.4; 4.1.4 et 4.2.1 protège contre cette faille de sécurité d’après son développeur « webvitaly » comme il le dit en réponse à ma question ici :
https://wordpress.org/support/topic/correction-of-the-april-27-xss-vulneranility?replies=2#post-6880262Ainsi, les versions non corrigées de cette faille (3.7.7; 3.8.7 et 3.9.5) doivent activer ce plugin.
Aujourd’hui, mercredi 22 juillet à 15 40 min, Lionel Bernardi vient d’annoncer que la version PHP 5.6.8 beta est déployée sur tous les serveurs des pages perso de FREE.
Les versions originales de WordPress fonctionnent, il est inutile d’installer une version adaptée à PHP 5.1.3.
Je mets à disposition sur bitbucket.org un fichier « .htaccess » sécurisé et optimisé pour php 5.6.8 selon les conseils de « Al » du site les.pages.perso.chez.free .
Il est disponible à partir de cette page : Déploiement de la version PHP 5.6.8 beta sur tous les serveurs des pages perso de FREE.
- Le sujet ‘WordPress 4.0.4 et 4.1.4 Security Release’ est fermé à de nouvelles réponses.