WordPress 4.5.2安全维护版本发布,并解释ImageTragick问题
WordPress核心开发团队刚刚发布了WordPress 4.5.2版本,修复了WordPress 4.5.1及更早版本中存在的两处安全漏洞。
第一个安全隐患是,在WordPress用于上传文件的第三方库Plupload中,发现存在SOME(Same-Origin Method Execution,同源方法执行)漏洞。
第二个安全隐患是,在ordPress的媒体库中使用的第三方库MediaElement.js中,其生成的网址存在被致反射型跨域攻击(reflected XSS)的可能。
以上两个安全隐患由来自Cure53团队的Mario Heiderich,Masato Kinugawa,和Filedescriptor发现并报告。经过Plupload团队和MediaElement.js团队与WordPress核心团队共同努力,已经修复了这两个问题。
WordPress默认开启小版本自动更新功能,没有关闭该功能的网站将会自动更新到此最新版本。你也可以通过WordPress管理后台的更新按钮一键升级到最新版本。你也可以通过这里点击下载WordPress4.5.2最新版。
此外,WordPress中使用的处理图片的ImageMagic库,最近被大范围报道存在安全漏洞;这一问题并命名为ImageTragick,这里是关于ImageTragick的专题网站。WordPress核心团队撰文对此问题做了详细解释。
由于此漏洞存在于PHP的Imagick扩展中,而不是WordPress自身的问题,WordPress团队无法通过更新解决这一漏洞。因此,请你及时联系你的主机空间服务商进行解决。ImageMagick团队已经于5月3日发布更新解决这一问题。
我们WordPress中文网提供的WordPress专业主机,已经于前天(5月5日)及时进行了升级,修复了此完全漏洞,所有用户均不必担心。使用其他主机空间、服务器的WordPress用户,请联系你的服务商确认是否已经修复此ImageTragick漏洞。
被墙的厉害,转载一下给大家吧,网上现在消息也不多,有网友给出暂时解决方案,看起来意思是用GD库。
在/wp-includes/media.php的_wp_image_editor_choose函数内部找到:
$implementations = apply_filters( 'wp_image_editors', array( 'WP_Image_Editor_Imagick' , 'WP_Image_Editor_GD' ) );
修改为下面这行:(即调换最后数组的顺序)
$implementations = apply_filters( 'wp_image_editors', array( 'WP_Image_Editor_GD' ,'WP_Image_Editor_Imagick' ) );
本作品采用 知识共享署名-相同方式共享 4.0 国际许可协议 进行许可。
都已经4.7了