WordPress 4.2.3 : une mise à jour de sécurité à cause d'une faille XSS

WordPress 4.2.3 : une mise à jour de sécurité à cause d’une faille XSS

Entre autres choses...

Avatar de l'auteur
Sébastien Gavois

Publié dans

Internet

24/07/2015 1 minute
16

WordPress 4.2.3 : une mise à jour de sécurité à cause d'une faille XSS

Une nouvelle faille de sécurité a été découverte dans WordPress. Tous les détails n'ont pas été dévoilés, mais une mise à jour 4.2.3 est disponible. Il est donc recommandé de l'installer.

WordPress vient d'annoncer qu'une mise à jour de sécurité estampillée 4.2.3 était disponible. En cause, une faille XSS (cross-site scripting) qui touche WordPress 4.2.2 et les versions précédentes. Elle « pourrait permettre à des utilisateurs avec le rôle de contributeur ou d'auteur de compromettre un site ». Aucun détail supplémentaire n'a été dévoilé, probablement afin d'éviter que cette brèche ne soit utilisée massivement.

Une autre faille permettant à un souscripteur de créer un brouillon d'article a aussi été comblée. Une vingtaine de bugs sont également corrigés au passage et les notes de versions complètent se trouvent par ici. Pour télécharger WordPress c'est par ici que ça se passe, mais la mise à jour peut aussi directement se faire depuis l'interface d'administration de votre site.

16

Écrit par Sébastien Gavois

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Le brief de ce matin n'est pas encore là

Partez acheter vos croissants
Et faites chauffer votre bouilloire,
Le brief arrive dans un instant,
Tout frais du matin, gardez espoir.

Commentaires (16)


Il y a pas un système de mise à jour automatique pour ce genre de correction normalement ?


Pas totalement automatique (sauf si hébergé chez Wordpress) mais déjà grandement facilité.


Oui pour les mise à jour mineur Wordpress à un système de mise à jour automatique.


Pour les versions mineures, mon Wordpress auto hébergé se met tout seul à jour.


A condition de le paramétrer pour. Personnellement, il ne pouvait pas le faire (installation par défaut) parce qu’il n’était pas régler pour ne pas passer par FTP. J’ai fouillé un peu sur le net pour qu’il les fasse en direct et maintenant ça fonctionne parfaitement <img data-src=" />



D’ailleurs, je l’ai installé sur un serveur nginx, c’est tellement plus simple qu’Apache <img data-src=" />








Mimoza a écrit :



Il y a pas un système de mise à jour automatique pour ce genre de correction normalement ?





je viens de la faire, ca prend 30 secondes top



1- se logger sur l’interface admin

2- clic sur re-installer

3- enjoy



Utiliser wordpress est en soi déjà une honte…








Nikodym a écrit :



Utiliser wordpress est en soi déjà une honte…





Trop gros, le troll. Même pour un vendredi.









Yzokrad a écrit :



Faudrait qu’ils pensent à réécrire WP en objet, ça fera déjà plus sérieux.





Qu’ils abandonnent PHP et passent au moins à un vrai langage interprété surtout…



Une faille XSS, encore aujourd’hui ? Ça fait pas très sérieux.















Nikodym a écrit :



Qu’ils abandonnent PHP et passent au moins à un vrai langage interprété surtout…







Quel est le problème avec PHP ?



Tiens, comme ça parle de Wordpress. Je me tâtais à faire un site avec ça.

&nbsp;



Vous auriez des solutions sans héberger soi-même pour faire un wordpress totalement gratuit ?

(Je ne me fais aucune illusion, mais au cas où).








Pazns a écrit :



Quel est le problème avec PHP ?







C’est gens qui pense avoir la vérité absolue…



Perso, je code en plusieurs langages dont le PHP et franchement j’ai toujours pas compris ce qu’on lui trouve.









zefling a écrit :



C’est gens qui pense avoir la vérité absolue…



Perso, je code en plusieurs langages dont le PHP et franchement j’ai toujours pas compris ce qu’on lui trouve.





-HS On

Le problème des gens qui critiquent le php est qu’ils sont tous restés coincés à l’époque de php4. Refus de se documenter ou fierté d’être un “serial killer” en c++ (ou autre langage plus ‘prestigieux’), je n’ai jamais compris cette volonter de rester ignorant. Php ont fait des effort considérables si on se base sur les nouveautés depuis 5.56 et particulièrement NG qui arrive bientôt et qui non content d’exploser les perfs de HHVM, se dirige doucement vers la bonne voie en terme de typage, de modèle objet etc.

-HS Off



Les failles XSS ne sont en aucun cas imputables à php, mais bien aux développeurs php qui accordent toujours aussi peu d’importance à vérifier les userdata. Wordpress aurait codé en Java, en Perl, ou en Ruby le problème aurait été le même. Wordpress continue juste de faire face à son peu laborieux passé.









Pazns a écrit :



Une faille XSS, encore aujourd’hui ? Ça fait pas très sérieux.





Le problème c’est que Wordpress est resté coincé 10 ans en arrière en terme d’architecture de projet web. Je connais pas les motivations derrière mais c’est vraiment désolant de voir un projet qui est autant utiliser faire du surplace depuis des années. Du coup je pense que les faille sont le contre-coup de cet immobilisme.



PHP est souvent le seul choix possible chez les hébergeurs gratuits. Même avec un hébergement payant, le premier prix reste souvent cantonné au PHP.