Вышла новая версия WordPress 3.6.1 Оскар, названная в честь музыканта Оскара Питерсона. В версии 3.6.1: новая стандартная тема Twenty Thirteen, новый интерфейс для работы с ревизиями, автосохранение и блокировка записей при совместном редактировании, встроенная поддержка аудио и видео и многое другое.Вышла новая версия WordPress 3.6.1 Оскар, названная в честь музыканта Оскара Питерсона. В версии 3.6.1: новая стандартная тема Twenty Thirteen, новый интерфейс для работы с ревизиями, автосохранение и блокировка записей при совместном редактировании, встроенная поддержка аудио и видео и многое другое.
Обновление WordPress 3.6.1
Для пользователей- Новая блоговая тема Twenty Thriteen с адаптивным дизайном и поддержкой всех форматов записей.- Возможность просматривать все ревизии записей, сравнивать и восстанавливать с помощью нового интерфейса.- Блокировка записей при совместном редактировании и сохранение локальных копий для защиты от потери данных.- Встроенные аудио- и видео-проигрыватели на основе HTML5.- Улучшенный интерфейс для работы с меню.
— Посмотреть новые функции в действии вы можете в видео-релизе WordPress 3.6 на сайте WordPress.tv.
Для разработчиков- Новые функции для работы с аудио и видео мета-данными.- Возможность использоваться разметку HTML5 для форм комментирования и поиска, а так же для вывода списка комментариев.- Новые фильтры для работы с ревизиями и улучшенная поддержка ревизий произвольных типов записей.
— Более 700 закрытых задач.
Устранение уязвимостей
Проблема проявляется из-за возможности обмануть проверку использования сериализированных данных и инициировать подстановку в БД подготовленного атакующим сериализированного блока, при распаковке которого можно организовать подмену параметров PHP-объектов WordPress и добиться выполнения PHP-кода. Опасность проблемы снижает необходимость наличия специфичных условий для эксплуатации, например, прототип эксплоита удалось создать только для выполнения кода через класс стороннего плагина к WordPress, найти штатные классы WordPress, содержащие изначально определённые методы, вызываемые поле выполнения unserialize(), не удалось. Кроме того, разработчики WordPress выяснили, что проблема не проявляется в конфигурациях с MySQL, в которых игнорируется хвост UTF8-последовательности при выявлении неполного многобайтового Unicode-символа.
Уязвимость устранена в экстренно выпущенном релизе WordPress 3.6.1. Пользователям WordPress рекомендуется незамедлительно установить обновление. В выпуске 3.6.1 также устранены ещё две неприятные уязвиомости: проблема, позволяющая пользователю с правами автора сформировать публикацию от имени другого пользователя, и возможность организовать перенаправления пользователя на другой сайт.