WordPress 4.0.4 et 4.1.4 Security Release (Créer un compte)

  • Statut : non résolu
4 sujets de 1 à 4 (sur un total de 4)
  • Auteur
    Messages
  • #549359
    luciole135
    Participant
    Maître WordPress
    13714 contributions

    Bonsoir,
    Voici les versions WordPress 4.0.4 et 4.1.4 corrigés d’une deuxième faille XSS de sécurity critique publié aujourd’hui 27 avril 2015.
    Voir : WordPress 4.2.1 Security Release

    Ces versions sont disponibles en téléchargement depuis les pages de présentations des adaptations de WordPress ici :
    – Pour WordPress 4.1.4 :
    http://additifstabac.free.fr/index.php/installer-wordpress-4-1-dinah-pages-perso-de-free/

    – pour WordPress 4.0.4 :
    http://additifstabac.free.fr/index.php/installer-wordpress-4-0-benny-sur-les-pages-perso-de-free/#telechargement

    Ainsi que dans la page présentant les adaptations de la précédente faille XSS de sécurité ici :
    http://additifstabac.free.fr/index.php/faille-de-securite-critique-de-wordpress-corrigee/

    Cordialement

    #1003645
    luciole135
    Participant
    Maître WordPress
    13714 contributions

    L’équipe de développement de WordPress montre une très grande légèreté dans la gestion des failles de sécurité.

    Sur le site du découvreur de la faille, on peut lire :
    http://klikki.fi/adv/wordpress2.html

    « WordPress has refused all communication attempts about our ongoing security vulnerability cases since November 2014. We have tried to reach them by email, via the national authority (CERT-FI), and via HackerOne. No answer of any kind has been received since November 20, 2014. According to our knowledge, their security response team have also refused to respond to the Finnish communications regulatory authority who has tried to coordinate resolving the issues we have reported, and to staff of HackerOne, which has tried to clarify the status our open bug tickets.

    To prevent exploitation, administrators should disable comments (Dashboard, Settings/Discussion, select as restrictive options as possible). Do not approve any comments. »

    On attend toujours la correction des versions 3.7; 3.8 et 3.9 par l’équipe de développement !

    #1003646
    luciole135
    Participant
    Maître WordPress
    13714 contributions

    Le plugin « antispam 3.5 » livré avec toutes les versions adaptées aux pages perso de FREE 3.7.7; 3.8.7; 3.9.5; 4.0.4; 4.1.4 et 4.2.1 protège contre cette faille de sécurité d’après son développeur « webvitaly » comme il le dit en réponse à ma question ici :
    https://wordpress.org/support/topic/correction-of-the-april-27-xss-vulneranility?replies=2#post-6880262

    Ainsi, les versions non corrigées de cette faille (3.7.7; 3.8.7 et 3.9.5) doivent activer ce plugin.

    #1003647
    luciole135
    Participant
    Maître WordPress
    13714 contributions

    Aujourd’hui, mercredi 22 juillet à 15 40 min, Lionel Bernardi vient d’annoncer que la version PHP 5.6.8 beta est déployée sur tous les serveurs des pages perso de FREE.

    Les versions originales de WordPress fonctionnent, il est inutile d’installer une version adaptée à PHP 5.1.3.

    Je mets à disposition sur bitbucket.org un fichier « .htaccess » sécurisé et optimisé pour php 5.6.8 selon les conseils de « Al » du site les.pages.perso.chez.free .

    Il est disponible à partir de cette page : Déploiement de la version PHP 5.6.8 beta sur tous les serveurs des pages perso de FREE.

4 sujets de 1 à 4 (sur un total de 4)
  • Le sujet ‘WordPress 4.0.4 et 4.1.4 Security Release’ est fermé à de nouvelles réponses.