Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

WordPress 4.2.3 : une mise à jour de sécurité à cause d’une faille XSS

Entre autres choses...

WordPress 4.2.3 : une mise à jour de sécurité à cause d'une faille XSS

Le 24 juillet 2015 à 07h49

Une nouvelle faille de sécurité a été découverte dans WordPress. Tous les détails n'ont pas été dévoilés, mais une mise à jour 4.2.3 est disponible. Il est donc recommandé de l'installer.

WordPress vient d'annoncer qu'une mise à jour de sécurité estampillée 4.2.3 était disponible. En cause, une faille XSS (cross-site scripting) qui touche WordPress 4.2.2 et les versions précédentes. Elle « pourrait permettre à des utilisateurs avec le rôle de contributeur ou d'auteur de compromettre un site ». Aucun détail supplémentaire n'a été dévoilé, probablement afin d'éviter que cette brèche ne soit utilisée massivement.

Une autre faille permettant à un souscripteur de créer un brouillon d'article a aussi été comblée. Une vingtaine de bugs sont également corrigés au passage et les notes de versions complètent se trouvent par ici. Pour télécharger WordPress c'est par ici que ça se passe, mais la mise à jour peut aussi directement se faire depuis l'interface d'administration de votre site.

Commentaires (15)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Il y a pas un système de mise à jour automatique pour ce genre de correction normalement ?

votre avatar

Pas totalement automatique (sauf si hébergé chez Wordpress) mais déjà grandement facilité.

votre avatar

Oui pour les mise à jour mineur Wordpress à un système de mise à jour automatique.

votre avatar

Pour les versions mineures, mon Wordpress auto hébergé se met tout seul à jour.

votre avatar

A condition de le paramétrer pour. Personnellement, il ne pouvait pas le faire (installation par défaut) parce qu’il n’était pas régler pour ne pas passer par FTP. J’ai fouillé un peu sur le net pour qu’il les fasse en direct et maintenant ça fonctionne parfaitement <img data-src=" />



D’ailleurs, je l’ai installé sur un serveur nginx, c’est tellement plus simple qu’Apache <img data-src=" />

votre avatar







Mimoza a écrit :



Il y a pas un système de mise à jour automatique pour ce genre de correction normalement ?





je viens de la faire, ca prend 30 secondes top



1- se logger sur l’interface admin

2- clic sur re-installer

3- enjoy


votre avatar

Utiliser wordpress est en soi déjà une honte…

votre avatar







Nikodym a écrit :



Utiliser wordpress est en soi déjà une honte…





Trop gros, le troll. Même pour un vendredi.


votre avatar







Yzokrad a écrit :



Faudrait qu’ils pensent à réécrire WP en objet, ça fera déjà plus sérieux.





Qu’ils abandonnent PHP et passent au moins à un vrai langage interprété surtout…


votre avatar

Une faille XSS, encore aujourd’hui ? Ça fait pas très sérieux.















Nikodym a écrit :



Qu’ils abandonnent PHP et passent au moins à un vrai langage interprété surtout…







Quel est le problème avec PHP ?


votre avatar

Tiens, comme ça parle de Wordpress. Je me tâtais à faire un site avec ça.

&nbsp;



Vous auriez des solutions sans héberger soi-même pour faire un wordpress totalement gratuit ?

(Je ne me fais aucune illusion, mais au cas où).

votre avatar







Pazns a écrit :



Quel est le problème avec PHP ?







C’est gens qui pense avoir la vérité absolue…



Perso, je code en plusieurs langages dont le PHP et franchement j’ai toujours pas compris ce qu’on lui trouve.


votre avatar







zefling a écrit :



C’est gens qui pense avoir la vérité absolue…



Perso, je code en plusieurs langages dont le PHP et franchement j’ai toujours pas compris ce qu’on lui trouve.





-HS On

Le problème des gens qui critiquent le php est qu’ils sont tous restés coincés à l’époque de php4. Refus de se documenter ou fierté d’être un “serial killer” en c++ (ou autre langage plus ‘prestigieux’), je n’ai jamais compris cette volonter de rester ignorant. Php ont fait des effort considérables si on se base sur les nouveautés depuis 5.56 et particulièrement NG qui arrive bientôt et qui non content d’exploser les perfs de HHVM, se dirige doucement vers la bonne voie en terme de typage, de modèle objet etc.

-HS Off



Les failles XSS ne sont en aucun cas imputables à php, mais bien aux développeurs php qui accordent toujours aussi peu d’importance à vérifier les userdata. Wordpress aurait codé en Java, en Perl, ou en Ruby le problème aurait été le même. Wordpress continue juste de faire face à son peu laborieux passé.


votre avatar







Pazns a écrit :



Une faille XSS, encore aujourd’hui ? Ça fait pas très sérieux.





Le problème c’est que Wordpress est resté coincé 10 ans en arrière en terme d’architecture de projet web. Je connais pas les motivations derrière mais c’est vraiment désolant de voir un projet qui est autant utiliser faire du surplace depuis des années. Du coup je pense que les faille sont le contre-coup de cet immobilisme.


votre avatar

PHP est souvent le seul choix possible chez les hébergeurs gratuits. Même avec un hébergement payant, le premier prix reste souvent cantonné au PHP.

WordPress 4.2.3 : une mise à jour de sécurité à cause d’une faille XSS

Fermer