WordPress 4.9.5 rilascio di sicurezza e di mantinemento

Le versioni di WordPress 4.9.4 e precedenti sono interessate da tre problemi di sicurezza:

  • Non considerare localhost come stesso host per impostazione predefinita.
  • Utilizzare reindirizzamenti sicuri quando si reindirizza la pagina di login se SSL è forzato.
  • Assicurati che la stringa di versione sia correttamente sottoposta a escape per l’utilizzo nei tag del generatore.

Venticinque altri bug sono stati corretti in WordPress 4.9.5:

  • Gli stili precedenti sugli shortcode caption sono stati ripristinati.
  • Cropping sui dispositivi touch è ora supportato.
  • Una varietà di stringhe, come i messaggi di errore, sono state aggiornate per una maggiore chiarezza.
  • La posizione di un placeholder per gli allegati durante i caricamenti è stata corretta.
  • La funzionalità nonce custom nel client JavaScript dell’API REST è stata resa coerente in tutto il codice base.
  • Migliore compatibilità con PHP 7.2.

Grazie a Luciano Croce per la traduzione

WordPress versione 4.9.4 – dettagli tecnici

Ieri è stata rilasciata la versione 4.9.4 di WordPress, il giorno dopo del rilascio della versione 4.9.3.

WordPress 4.9.4 è la prima minor release di WordPress, in oltre 4 anni, da quando WordPress 3.7 è stato rilasciato, dove non tutti gli utenti riceveranno l’aggiornamento automatico.

Non è stata una nostra scelta – un bug che non è stato scoperto durante tutto il ciclo di sviluppo della 4.9.3, e che è stato scoperto solo qualche ora dopo il rilascio della 4.9.3. Questo bug causa un errore fatale di PHP quando WordPress cerca di aggiornarsi.

Questo significa che gli amministratori dei siti sviluppati con WordPress, dovranno eseguire l’aggiornamento manualmente, facendo clic sul pulsante aggiorna in bacheca o via ftp.

Sembra che le versioni localizzate, come quella italiana, soffrano di questo bug in maniera molto minore, quindi potreste, facilmente, trovare i siti aggiornati senza problemi.

Per quanto riguarda la sicurezza, non c’è nulla da temere, sia la 4.9.3 che la 4.9.4 NON sono rilasci di sicurezza.

Per ulteriori dettagli tecnici e per altri metodi per aggiornare, vi rimando al post di rilascio, in inglese, su make/core.

WordPress 4.9.1 Release di Mantenimento e Sicurezza

È disponibile WordPress 4.9.1. Questa è una release di mantenimento e sicurezza per tutte le versioni a partire dalla 3.7. Vi incoraggiamo caldamente ad aggiornare i vostri siti al più presto.

La versione 4.9 e le precedenti di WordPress sono soggette a quattro vulnerabilità che potrebbero essere utilizzate per attacchi multi-vector.

Nell’ottica dell’impegno costante del team Core per migliorare la sicurezza, sono state apportate le seguenti correzioni nella versione 4.9.1:

  1. Utilizzo di un hash generato in modo corretto per la chiave newbloguser invece di una determinata sottostringa.
  2. Aggiunta di escaping agli attributi di linguaggio usati negli elementi html.
  3. Controllo che gli attributi delle enclosure vengano gestiti correttamente (escaped) nei feed RSS e Atom.
  4. Rimozione della possibilità di caricare dei file JavaScript per gli utenti che non hanno un ruolo che consente di pubblicare unfiltered_html.

Grazie a Rahul Pratap Singh and John Blackbourn per aver segnalato queste vulnerabilità in modo responsabile.

Oltre a questi problemi, WordPress risolve altri undici bug. Da segnalare in particolare:

  • Problemi con il caching dei file di template dei temi.
  • Un errore Media Element JavaScript che impedisce agli utenti di alcune versioni tradotte di caricare i file nella libreria media.
  • L’impossibilità di modificare file di temi e plugin su server Windows.

Se volete approfondire, questo articolo ha altre informazioni sui bug risolti dalla versione 4.9.1.

Scaricate WordPress 4.9.1 o andate in Dashboard → Aggiornamenti e semplicemente cliccate su “Aggiorna Ora”. I siti che supportano gli aggiornamenti automatici stanno già iniziando l’aggiornamento a WordPress 4.9.1.

Grazie a tutti quelli che hanno contribuito alla release 4.9.1:

Alain SchlesserAndrea FerciaAngelika ReisigerBlobfoliobobbingwideChetan PrajapatiDion HulseDominik Schilling (ocean90)edo888Erich MunzFelix ArntzFlorian TIARGary PendergastIgor BenicJeff FarthingJeffrey PauljeremyescottJoe McGillJohn BlackbournjohnpgreenKelly DwanlenastergMarius L. J.Mel ChoyceMário ValneynatacadoodysseypreciesSašaSergey Biryukov, and Weston Ruter.

Annuncio originale in inglese 

WordPress 4.4.2 Release di Mantenimento e Sicurezza

È disponibile WordPress 4.42. Questa è una release di sicurezza per tutte le precedenti versioni e vi incoraggiamo caldamente ad aggiornare i vostri siti immediatamente.

La versione 4.4.1 e le precedenti di WordPress sono soggette a due vulnerabilità: una possibile SSRF per alcuni URI locali, segnalata da Ronni Skansing; un attacco sulle redirection, segnalato da Shailesh Suthar.

Grazie a entrambi per avere avere segnalato le vulnerabilità.

Altre a questi problemi, WordPress 4.4.2 risolve 17 bugs delle versioni 4.4 e 4.4.1. Per maggiori informazioni, potete leggere le note di rilascio o consultare la lista dei cambiamenti.

Scaricate WordPress 4.4.2 o andate in Dashboard → Aggiornamenti e semplicemente cliccate su “Aggiorna Ora”. I siti che supportano gli aggiornamenti automatici stanno già iniziando l’aggiornamento a WordPress 4.4.2.

Grazie a tutti quelli che hanno contribuito alla release 4.4.2:

Andrea Ferciaberengerzyla, Boone Gorges, Chandra Patel, Chris Christoff, Dion Hulse, Dominik Schilling, firebird75, Ivan Kristianto, Jennifer M. Dodd, salvoaranzulla

WordPress 4.4.1 Release di Mantenimento e Sicurezza

È disponibile WordPress 4.4.1. Questa è una release di sicurezza critica per tutte le precedenti versioni e vi incoraggiamo fortemente ad aggiornare i vostri siti immediatamente.

La versione 4.4 di WordPress è soggetta a una vulnerabilità di scripting cross-site che potrebbe compromettere il vostro sito, scoperta da Crtc4L.

Ci sono anche delle soluzioni di bug non relativi alla sicurezza:

  • Aggiornamento del supporto per gli emoji che include tutti gli ultimi caratteri, inclusi quelli che celebrano la diversità! 👍🏿👌🏽👏🏼
  • Alcuni siti con versioni vecchie di OpenSSL installato non riuscivano a comunicare con altri servizi resi disponibili da diversi plugin.
  • Nel caso di riutilizzo dell’URL di un post, il sito poteva reindirizzare al post scorretto.

WordPress 4.4.1 risolve 52 bug della versione 4.4. Per maggiori informazioni guardate anche le note di rilascio o consultate la lista delle modifiche.

 

Scaricate WordPress 4.4.1 o andate in Dashboard → Aggiornamenti e semplicemente cliccate su “Aggiorna Ora”. I siti che supportano gli aggiornamenti automatici stanno già iniziando l’aggiornamento a WordPress 4.4.1.

 

Grazie a tutti quelli che hanno contribuito alla release 4.4.1:

Aaron D. Campbell, Aaron Jorbin, Andrea Fercia, Andrew Nacin, Andrew Ozz, Boone Gorges, Compute, Daniel Jalkut (Red Sweater), Danny van Kooten, Dion Hulse,Dominik Schilling (ocean90), Dossy Shiobara, Evan Herman, Gary Pendergast, gblsm,Hinaloe, Ignacio Cruz Moreno, jadpm, Jeff Pye Brook, Joe McGill, John Blackbourn, jpr,Konstantin Obenland, KrissieV, Marin Atanasov, Matthew Ell, Meitar, Pascal Birchler,Peter Wilson, Roger Chen, Ryan McCue, Sal Ferrarello, Scott Taylor,scottbrownconsulting, Sergey Biryukov, Shinichi Nishikawa, smerriman, Stephen Edgar, Stephen Harris, tharsheblows, voldemortensen, and webaware.

Annuncio in inglese

WordPress 4.2.4 Release di Mantenimento e Sicurezza

È disponibile WordPress 4.2.4. Questa è una release di sicurezza critica per tutte le precedenti versioni e vi incoraggiamo fortemente ad aggiornare i vostri siti immediatamente.

Questa versione risolve sei segnalazioni, incluse 3 vulnerabilità di scripting cross-site e una potenziale SQL injection che potrebbe compromettere il vostro sito, scoperte da Marc-Alexandre Montpas di Sucuri, Helen Hou-Sandí del team di sicurezza di WordPress, Netanel Rubin di Check Point, e Ivan Grigorov.

Contiene anche una correzione per un possibile attacco di tipo temporale per carpire informazioni del sistema, segnalato da Johannes Schmitt di Scrutinizer, e impedisce ad un utente malintenzionato di bloccare i post, rendendone così impossibile la modifica (scoperto da Mohamed A. Baset).

Ringraziamo tutti quelli che effettuano la divulgazione responsabile dei problemi di sicurezza.

WordPress 4.2.4 risolve anche quattro bug della versione precedente. Per maggiori informazioni, guardate anche le note di rilascio e consultate la lista delle modifiche.

Scaricate WordPress 4.2.4 o andate in Dashboard → Aggiornamenti e semplicemente cliccate su “Aggiorna Ora”. I siti che supportano gli aggiornamenti automatici stanno già iniziando l’aggiornamento a WordPress 4.2.4.

State già testando WordPress 4.3? La seconda RC è disponibile (zip) e include queste correzioni. Per maggiori informazioni su 4.3, leggete l’articolo con l’annuncio della release.

Annuncio in inglese

WordPress 4.2.3 Release di Mantenimento e Sicurezza

È disponibile WordPress 4.2.3. Questa è una release di sicurezza critica per tutte le precedenti versioni e vi incoraggiamo fortemente ad aggiornare i vostri siti immediatamente.

Le versioni 4.2.2 e precedenti di WordPress hanno una vulnerabilità critica di scripting cross-site, che potrebbe permettere ad utenti anonimi di compromettere un sito. Questo è stato riportato da Jon Cave del Team Security di WordPress, e risolto da Robert Chapin.

Abbiamo anche risolto un problema in cui per un utente con permessi da Sottoscrittore era possibile creare una bozza tramite lo strumento Bozza Veloce. Segnalato da Netanel Rubin di Check Point Software Technologies.

Ringraziamo tutti quelli che effettuano la divulgazione responsabile dei problemi di sicurezza.

WordPress 4.2.3 risolve anche 20 bug della versione 4.2. Per maggiori informazioni, guardate le note di rilascio o consultate la lista delle modifiche.

Scaricate WordPress 4.2.3 o andate in Dashboard → Aggiornamenti e semplicemente clicca su “Aggiorna Ora”. I siti che supportano gli aggiornamenti automatici stanno già iniziando l’aggiornamento a WordPress 4.2.3.

Grazie a tutti quelli che hanno contribuito alla 4.2.3:

Aaron Jorbin, Andrew Nacin, Andrew Ozz, Boone Gorges, Chris Christoff, Dion Hulse,Dominik Schilling, Ella Iseulde Van Dorpe, Gabriel Pérez, Gary Pendergast, Mike Adams, Robert Chapin, Nikolay Bachiyski, Ross Wintle, e Scott Taylor.

Annuncio in inglese