2010年12月30日, Kirin Lin
您可立即取得 WordPress 3.0.4 版本,透過您控制台裡頭的更新頁面或自這裡下載。這更新非常重要,請您儘速使用它升級您的站台。它修正了一個核心安全性問題,發生在我們一個稱為 KSES 的 HTML 清理函式庫裡頭。這釋出版本層級應被標示為『關鍵』。
我們瞭解假期中升級各位的網誌真的不有趣,但這值得您放下手中的酒杯啦~另外也請考慮幫助您的朋友升級,大家互相幫助假期就會更愉快啊~
若您對安全性議題有研究,我們將很感激您幫我們檢查一下這個更新所使用的變更集合。我們收到許多關於這問題的想法與回應,但這牽涉到核心議題,我們歡迎更多人一起腦力激盪。感謝 Mauro Gentile 與 Jon Cave (duck_) 發現並立刻通知我們這些 XSS 漏洞。
無迴響2010年12月9日, Kirin Lin
WordPress 3.0.3 釋出,升級先前版本的安全性。
這個釋出版本修正遠端發佈介面的問題,該問題是在某些情況下會讓具作者或參與者身份的帳號不當地編輯、發表或刪除文章。
這些問題僅影響有啟用遠端發佈功能的網站。
遠端發佈功能預設為停用,但您可能為了使用某些遠端發佈軟體(如 WordPress 行動應用程式)而開啟它。您可透過「設定→寫作」到寫作設定畫面檢查設定值。
下載 3.0.3 版本或自您網站的管理去選單內從「控制台 > 更新」執行自動更新。
無迴響2010年12月1日, Kirin Lin
官方網站於 11/30 公告 WordPress 3.0.2 釋出的訊息。這是個強制性的安全性更新,請所有舊版 WordPress 都進行升級的動作。這古典短詩(俳句)已成為傳統:
Fixed on day zero
One-click update makes you safe
This used to be hard
(譯注:直翻起來實在不順)
這個維護版本修復了溫和的安全問題,可能允許擁有作者權限的惡意使用者進一步取得進階存取網站的權限,解決了少數的錯誤,並提供了一些額外的安全性增強。非常感謝 Vladimir Kolesnikov 披露詳細的安全問題並負責解決!
下載 3.0.2 或自您網站的管理去選單內從「控制台 > 更新」執行自動更新。您應該立即更新,即使您沒有不可信的帳號。
無迴響