Development team WordPress telah merilis versi 3.1.1 dari platfrom blog publishing dalam rangka mengatasi beberapa stabilitas dan isu keamanan.
Secara keseluruhan, WordPress 3.1.1 mengalami hampir tiga puluh perbaikan bug termasuk tiga vulnerability (baca: kerentanan) yang ditemukan oleh core developers: Jon Cave dan Peter Westwood.
Sebuah bug terletak pada komponen media uploader dan proteksi bypass cross-site request forgery (CSRF). Hal ini diselesaikan dengan menambahkan beberapa nonce checks pada kode.
Jenis vulnerability ini memungkinkan attacker melakukan session hijacking pada user yang sah dengan memaksa browser mereka untuk melakukan tindakan tidak sah ketika membuka sebuah link jahat yang dirancang khusus.
Vulnerability kedua adalah minor cross-site scripting (XSS) yang terletak pada halaman upgrade database.
Secara keseluruhan, WordPress 3.1.1 mengalami hampir tiga puluh perbaikan bug termasuk tiga vulnerability (baca: kerentanan) yang ditemukan oleh core developers: Jon Cave dan Peter Westwood.
Sebuah bug terletak pada komponen media uploader dan proteksi bypass cross-site request forgery (CSRF). Hal ini diselesaikan dengan menambahkan beberapa nonce checks pada kode.
Jenis vulnerability ini memungkinkan attacker melakukan session hijacking pada user yang sah dengan memaksa browser mereka untuk melakukan tindakan tidak sah ketika membuka sebuah link jahat yang dirancang khusus.
Catatan: konsep teknik diatas sama seperti konsep Session Hijacking Account Yahoo pada artikel saya sebelumnya.
Vulnerability kedua adalah minor cross-site scripting (XSS) yang terletak pada halaman upgrade database.
Catatan: jenis ini juga sama konsepnya seperti artikel saya sebelumnya yang berjudul XSS Vulnerability pada 1.61.channel.facebook.com, yaitu dengan mencari sebuah halaman yang dapat dimasuki kode jahat kedalam halaman tersebut.
Baik vulnerability CSRF maupun XSS telah di temukan dan dilaporkan oleh Jon Cave, yang merupakan anggota tim keamanan WorldPress.
Vulnerability yang diidentifikasi oleh Peter Westwood menyangkut penanganan link tertentu dan dapat mengakibatkan kondisi denial of service dimana terdapat proses PHP yang kacau. Hal ini dapat dimanfaatkan (exploit) dengan memasukan link jahat kedalam komentar.
Selain perbaikan pada keamanan, update ini juga berisi perbaikan pada 26 bug yang berkaitan dengan suport IIS6, taxonomy dan PATHINFO permalinks, serta berbagai masalah kompatibelitas plugin. Peningkatan kinerja juga ikut disertakan.
Pengguna sangat disarankan untuk melakukan upgrade ke WordPress 3.1.1. Hal ini dapat dilakukan dari menu Dashboard > Updates.
Wordpress 3.1.1 dapat anda download disini dan diinstal secara manual.
0 komentar:
Post a Comment