2007年1月13日 | 由冰古发表 | 查看3,717次
wordpress2.0.6刚出不久就有feedburner bug,现在又有hacker发现2.0.6的SQL注入漏洞。
别不信邪,还是先用着wordpress2.0.7RC1吧。
WordPress2.0.7RC1 change:
1. worked around a PHP bug for PHP4 < 4.4.3 and PHP5 < 5.1.4 with
register_globals ON
that could lead to SQL injection or other security breaches
2. Feeds should properly show 304 Not Modified headers (a.k.a. the
FeedBurner bug)
instead of mismatched 200/304 headers
3. Backport of another 304 Not Modified fix from trunk (Etag
mismatch on certain hosts would
cause 200 OK and content to always be served, a waste of bandwidth)
4. Deleting WP Pages no longer gives an “Are You Sure?” prompt
5. After deleting a WP Page, you are properly redirected to the Edit
Pages screen
6. Sending an image at original size in IE no longer adds an
incorrect “height” attribute
标签: 更新
发布于wordpress
2007年1月8日 | 由冰古发表 | 查看3,897次
把wordpress升级至2.0.6,过程是极其痛苦的。
为何痛苦?都是地震惹得祸。
最后还是使用SSH(在那些痛苦经历过后,才去support那里问,怎样玩SSH。他回答我说只要在users那里edit用户,选上ssh就可以了,没有说要身份证明?一试,还真行。),三条Shell命令就能把升级搞定。
wget http://wordpress.org/latest.tar.gz
tar -xzf latest.tar.gz
cp -rpf ./wordpress/* ./your-wp
紧跟wordpress更新,bbpress也更新到0.74。
升级完wordpress,也装上了bbpress。用SSH,那个快啊。(一两秒的事情,900kb+/s)
wget http://bbpress.org/latest.tar.gz
tar -xzf latest.tar.gz
cp -rpf ./bbpress/* ./bbs
更多阅读:
1、当然目录要先用cd到域名目录下。
2、wordpress 2.0.5升级到2.0.6?升级 Wordpress 2.0.5 到 2.0.6 的步骤
3、初玩SSH?shell使用指南
4、2.0.6也有bug,wordpress 2.0.6的feedburner bug
标签: 更新
发布于wordpress
2007年1月7日 | 由冰古发表 | 查看4,162次
刚在昨天发布的wordpress 2.0.6,就有人发现此版本的wordpress有个feedburner bug。
大概的意思是说当升级到2.0.6或2.1后,你的feedburner feed将会返回“invalid xml”错误。
具体原因和解决方法看:
英文原版,WordPress 2.0.6 and FeedBurner Disconnects
繁体中文翻译版:WordPress 2.0.6 對 FeedBurner 的 bug
标签: bug
发布于wordpress
2007年1月6日 | 由冰古发表 | 查看3,835次
wordpress 2.0.6发布了!更新信息如下:
补上了一个安全漏洞;
HTML quicktags可以在Apple浏览器Safari上正常使用;
格式化留言,防止它们破坏blog布局;
PHP/FastCGI安装兼容性调整。
为解决这个安全漏洞添加了attribute_escape()函数。
还增加了名为“query”的filter。
下载wordpress2.0.6
Dev Blog: WordPress 2.0.6
标签: 更新
发布于wordpress
2007年1月3日 | 由冰古发表 | 查看4,897次
多个版本的wordpress都有这个受攻击弱点。
WordPress Wordpress (B2) 0.6.2 .1
WordPress Wordpress (B2) 0.6.2
WordPress WordPress 2.0.5
WordPress WordPress 2.0.4
WordPress WordPress 2.0.3
WordPress WordPress 2.0.2
WordPress WordPress 2.0.1
WordPress WordPress 2.0
WordPress WordPress 1.5.2
WordPress WordPress 1.5.1 .3
WordPress WordPress 1.5.1 .2
WordPress WordPress 1.5.1
WordPress WordPress 1.5
WordPress WordPress 1.2.2
WordPress WordPress 1.2.1
+ Gentoo Linux
WordPress WordPress 1.2
+ Gentoo Linux 1.4
+ Gentoo Linux
WordPress WordPress 0.71
WordPress WordPress 0.7
但这个弱点已经在2.0.6中修补,但当前流行使用的版本为2.0.5,所以大家还是自己补上吧:
我翻了一下我保存的各个版本的wordpress,不知道为什么也找不到原文中提到的代码。(wordpress应该是没有attribute_escape()函数的)
在2.0.5中应该是这样修补的:
打开 your-wordpress/wp-admin/templates.php (应该在114行),找到
echo "
” . get_file_description(basename($recent)) . “
“;
修改为
echo "<li><a href='templates.php?file=" . wp_specialchars($recent, true) . "'>" . wp_specialchars(get_file_description(basename($recent))) . "</a></li>";
wordpress-1[1][1].5.2、2.0 RC2、2.0.2 - 2.0.4的templates.php原代码是这样的,
echo "<li><a href='templates.php?file=$recent'>" . get_file_description(basename($recent)) . "</a></li>";
修改为
echo "<li><a href='templates.php?file=" . wp_specialchars($recent, true) . "'>" . wp_specialchars(get_file_description(basename($recent))) . "</a></li>";
打开 your-wordpress/wp-admin/templates.php ,找到
echo "
” . get_file_description(basename($recent)) . “
“;
修改为
echo "<li><a href='templates.php?file=" . attribute_escape($recent) . "'>" . wp_specialchars(get_file_description(basename($recent))) . "</a></li>";
查看更多:Wordpress Template.PHP HTML Injection Vulnerability
跨站脚本攻击(XSS)FAQ
发布于wordpress
供稿种子
折腾WordPress和各种外国空间,文笔不佳,但也blog一下。