WordPress 2.5.1 備忘録
リリース:2008/04/27 [WordPress 2.5.1日本語版]
セキュリティ緊急更新
WordPress 2.5に2件の脆弱性存在
・クロスサイトスクリプティング(XSS)攻撃を仕掛けられる
・セキュリティ制限を回避できる
・システムを乗っ取ることも可能になる
Secuniaの危険度評価は、5段階で上から2番目に高い「Highly critical」
動作環境
・PHP バージョン 4.3 以上
・MySQL バージョン 4.0 以上
更新概要(セキュリティ問題・70件以上のバグフィックス)
・ダッシュボード、投稿作成、コメント編集ページのパフォーマンス改善
・数多くのカテゴリーを作っている場合のパフォーマンス向上
・メディアアップローダの修正
・TinyMCE 3.0.7 へのアップグレード
・ウィジェット管理の修正
・様々なユーザビリティの改善
・Internet Explorer 向けレイアウトの修正
障害発生
・2.5から2.5.1にアップデートで投稿画面のビジュアルが動作しない。
TinyMCE 3.0.7の影響だと思われる・・・
ソース変更
・wordpress-2.51-ja/wp-includes/js/tinymce/tiny_mce_config.php
248行-267行をコメントに変更
// Use cached file if exists
//if ( $disk_cache && is_file($cache_file) && is_readable($cache_file) ) {
//
// $mtime = gmdate("D, d M Y H:i:s", filemtime($cache_file)) . " GMT";
//
// if ( isset($_SERVER['HTTP_IF_MODIFIED_SINCE']) && $_SERVER['HTTP_IF_MODIFIED_SINCE'] == $mtime ) {
// header(’HTTP/1.1 304 Not Modified’);
// exit;
// }
// header(”Last-Modified: ” . $mtime);
// header(”Cache-Control: must-revalidate”, false);
//
// $content = getFileContents( $cache_file );
//
// if ( ‘.gz’ == $cache_ext )
// header( ‘Content-Encoding: gzip’ );
//
// echo $content;
// exit;
//}
結果
エラーログを吐かなくなりビジュアル動作復帰(この処理で良いのかは不明?)