Nessun risultato. Prova con un altro termine.
Guide
Notizie
Software
Tutorial

WordPress 4.3.1. Maintenance? No, security.

Link copiato negli appunti

A circa un mese dal rilascio di WordPress 4.3, nome in codice "Billie", gli sviluppatori del Blog engine/CMS Open Source più diffuso della Rete hanno reso disponibile WordPress 4.3.1, un aggiornamento che vuole essere nello stesso tempo una maintenance e una security release e che sembrerebbe testimoniare ancora una volta la notevole tendenza alla fretta nell'affrontare le fasi di betatest e di approvazione delle RC.

Riferendosi unicamente alle istanze più rilevanti, l'ultimo upgrade del progetto dovrebbe risolvere tre differenti problematiche, due delle quali riguarderebbero l'individuazione di vulnerabilità sfruttabili per l'esecuzione di attacchi basati sull'XSS (Cross-site scripting) mentre la terza, avrebbe potuto esporre l'applicazione a tentativi di privilege escalation interferendo direttamente sul flusso dei contenuti creati tramite WordPress.

Nel dettaglio sarebbe stata corretta una prima vulnerabilità riguardante la gestione degli shortcode tags; un ulteriore rischio di XSS sarebbe potuto derivare invece da una falla relativa alla tabella degli utenti.

A completare il quadro, come anticipato, una potenziale minaccia di privilege escalation che, in determinati casi, avrebbe potuto permettere ad utenti privi dei necessari permessi di pubblicare post privati; nel complesso, considerando anche gli interventi minori effettuati dai developers, WordPress 4.3.1 conterrebbe 26 bugfix.

Non è naturalmente detto che il team di WordPress debba adottare una politica di rilascio simile a quella pur affidabile di Drupal, intere generazioni di sviluppatori sono invecchiate in attesa della versione 8 oggi ancora in fase beta, ma forse una maggiore cautela e tempi di avvicendamento più lunghi tra una release e l'altra potrebbero migliorare il livello di sicurezza dell'applicazione, se non altro in considerazione della sua diffusione.

Via WordPress

Ti consigliamo anche