WordPress 3.6.1 : Mise à jour de sécurité à appliquer !

1 étoile2 étoiles3 étoiles4 étoiles5 étoiles (4,25/5 - 4 vote(s))
Baptiste Développement web 12
WordPress 3.6.1 : Mise à jour de sécurité à appliquer !

C’est il y a un mois qu’était dévoilé WordPress 3.6 aka Oscar, dévoilant de nombreuses nouveautés venant enrichir le célèbre système de gestion de contenu. La société éditrice du CMS, Automattic, diffuse aujourd’hui la première mise à jour de cette branche, WordPress 3.6.1, non seulement dans le cadre de la maintenance, mais également et surtout pour venir corriger des failles de sécurité.

C’est dans un premier temps 13 dysfonctionnements qui seront ainsi supprimés après application de la MAJ.

Du côté de la sécurité, ce sont 3 vulnérabilités desquelles sont venus à bout les développeurs de l’équipe en charge du CMS :

  • Blocage des désérialisations PHP non sûres pouvant dans certaines situations et sous certaines configurations entraîner l’exécution de code malveillant à distance
  • Correction d’un bug permettant à un compte de rôle Auteur de créer une publication dont il n’est pas l’auteur (attribuer le post à un autre compte)
  • Amélioration de la validation de champs de formulaires pouvant amener à la redirection d’un utilisateur vers un autre site internet

Des ajustements ont de plus été apportés au niveau de l’envoi des fichiers pour atténuer les risques de faille XSS.

A noter que le pack français de WordPress 3.6.1 n’est pour l’heure pas encore disponible. Il est vivement conseillé d’appliquer la mise à jour dès que ce sera le cas, manuellement ou automatiquement pour peu que votre hébergeur soit compatible avec l’application live des mises à jour via l’interface d’administration.

EDIT 12/09/2013 – 14:00

WordPress 3.6.1 est disponible au téléchargement en français.

Via

Laisser un commentaire

12 commentaires le "WordPress 3.6.1 : Mise à jour de sécurité à appliquer !"

  1. HerveVitLa 12/09/2013 à 12:41 · Répondre

    Bonjour,

    Je viens de faire la mise et hop message d’erreur avec mon thème BresponZive.
    public_html / dir / wp-content / themes / bresponzive / bresponzive / admin / widgets / widgets.php on line 1

    Un thème qui fonctionnait très bien sous WP3.6, la mise à jour doit désactiver quelque chose.

    • Baptiste 12/09/2013 à 14:00 · Répondre

      Rendez-vous dans le fichier widgets.php pour corriger ce qui coince en fonction de l’erreur retournée.

      Bon courage ;)

  2. Deltagm 12/09/2013 à 15:51 · Répondre

    Bonjour,

    Post sympa, avez-vous plus d’information sur le niveau de dangerosité de la faille ? La faille était-elle directement exploitable depuis le code de base du WP 3.6 sans thème ni plugin ?

    A en croire le post développeur ayant découvert la faille, c’est relativement inquiétant…

    http://vagosec.org/2013/09/wordpress-php-object-injection/

    Cdt,

    G

    • Baptiste 13/09/2013 à 08:30 · Répondre

      L’article est assez exhaustif. Je le parcours dès que j’en ai l’occasion. Merci !

      Mais WebLife est désormais bel et bien motorisé par WordPress 3.6.1 ;)

  3. Adrien 13/09/2013 à 22:39 · Répondre

    Mise à jour réussie ! :)

  4. Bernard G. 14/09/2013 à 12:41 · Répondre

    Merci pour les infos sur ces corrections de bug car on a parfois des difficultés à trouver les différences d’une version à une plus récente.

    • Baptiste 14/09/2013 à 18:08 · Répondre

      Restez connecté sur WebLife dans ce cas, vous aurez continuellement accès aux détails des mises à jour ;)

  5. Philippe 09/10/2013 à 11:50 · Répondre

    Bonjour,

    Depuis la dernière maj, je rencontre des soucis de partage dans Facebook (plus de vignette, commentaire, etc.). Quelqu’un rencontre-t-il ce soucis ? Peut-être est-ce la version du PHP chez mon hébergeur ?

    Merci :-)

    • Baptiste 09/10/2013 à 13:50 · Répondre

      Bonjour,

      Difficile de déterminer de quoi tu parles exactement.

      Partage manuel ou automatisé sur ta page/profil Facebook ? Commentaires à des publications ?
      Avec plus de détails, peut-être pourrons-nous diagnostiquer et corriger ce qui pose problème ;)

  6. mike 22/10/2013 à 16:52 · Répondre

    Bonjour, je rencontre le même problème que HerveVitLa sur la mise a jour de WP 3.6.1 pour le glisser-déposer des widgets, ceux-là ne se sélectionnent pas et sont pas actifs. Avez-vous une solution au niveau du code a corriger dans le fichier widgets.php ?
    Merci d’avance. Cordialement Mike

    • Baptiste 22/10/2013 à 21:22 · Répondre

      N’ayant pas été confronté à ce souci et sans plus d’information, il va m’être difficile de vous éclairer ;)