WordPress 2.1.1 dangerous, Upgrade to 2.1.2

老鬼 · 2007-03-03, 23:51

WordPress官方Blog的文章：《WordPress 2.1.1 dangerous, Upgrade to 2.1.2》。这次急匆匆的发布是因为WordPress网站被攻击了。在三四天前，WordPress网站上WordPress 2.1.1的压缩包被黑客(cracker)修改，有两个文件被加入了一些代码使得WordPress可以执行远程PHP代码。WordPress开发组及时修正了WordPress 2.1.1的压缩包，然后直接发布了WordPress 2.1.2，并且敦促大家尽快升级到WordPress 2.1.2，而且升级的时候最好是上传覆盖所有文件。

这次被影响的只有WordPress网站的WordPress 2.1.1版本的压缩包，所以，比较早时间下载的WordPress 2.1.1不受影响、WordPress其他版本比如2.0.x系列不受影响、从WordPress svn更新的不受影响。不过，鉴于WordPress 2.1.2还是修正了一些bug，所以最好还是更新一下吧。

根据WordPress官方Blog文章的信息，应该是wp-includes/feed.php和wp-includes/theme.php这两个文件被修改了。如果你是网站的管理员，那么应该立刻设置禁止对这两个文件的直接访问。如果你可以拿到网站的访问记录文件的话，可以检查一下是否有直接访问这两个文件的记录，尤其是包含"ix="和"iz="这样的查询。我现在不知道具体改的是什么代码，我的WordPress 2.1.1是发布当天就下载的，在网上通过Google的Blogsearch也查不到具体被修改文件的信息，唉。

WordPress开发组现在做了一些安全措施，保证以后不会再发生此类事件。这次压缩包被修改了三四天才被发现，估计会影响到不少人。不过，在国内还是有很多人喜欢用点点游的中文版，而在国外则高手比较多，直接用svn升级WordPress，再用curl执行升级程序，升个级连浏览器都不用打开。而WordPress的死忠们则大多在WordPress 2.1.1刚发布的时候就更新了，也不会受到影响。总之，在RSS阅读器里订阅WordPress官方Blog的feed，在WordPress新版发布的时候立刻跟进更新，这是非常重要地。

P.S. 看起来国外喜欢用"cracker"，只有中国才黑客来黑客去的叫。

WordPress 2.1.2的更新不多，有下面几项：

修正Ecto通过XMLRPC发布文章时不能Trackback的问题。[4906]
修正wp_delete_file过滤器不能使用的问题。[4909]
修正搜索空字符串时返回SQL错误信息的问题。#3722 [4912]
这个bug可以被黑客利用，如果搜索空字符串可以看到数据库出错信息，如果搜索一个逗号可以搜到所有已发布的文章。
在“后台->页面管理”页面，按照页面名称顺序进行排序。[4914]
在WordPress 2.0.x系列里，页面是按照menu order排序的，所以在前台的显示顺序和后台的显示顺序是一样的。
在wp-includes/js/tinymce/tiny_mce_config.php文件里添加cache_javascript_headers()函数。[4918]
给一些SQL查询里的列名前加上表名，以消除二义性。[4923]
打开TinyMCE里使用Firefox自带拼写检查功能的选项。[4931][4949]
就是说，如果你用的是Firefox 2.0系列的话，那么在TinyMCE里就可以使用Firefox 2自带的拼写检查功能了。
修正在单篇文章的评论管理页(http://abc.com/wp-admin/edit.php?p=1...��的问题。[4936]
AYS的提示信息实体化。[4952]
这个bug可以造成跨站脚本攻击。具体信息在#3879。
WordPress 2.1.2对照WordPress 2.1.1更新的文件：

wp-admin/custom-header.php
wp-admin/edit.php
wp-admin/edit-pages.php
wp-includes/js/tinymce/tiny_mce_config.php
wp-includes/functions.php
wp-includes/query.php
wp-includes/script-loader.php
wp-includes/version.php
xmlrpc.php
要记得检查被篡改的wp-includes/feed.php和wp-includes/theme.php两个文件啊。

2007年4月23日，WordPress 2.2将发布。大限在即，不知道2.1.x系列还能更新多少个版本。

fen^© · 2007-03-05, 20:02

偶是发布后的10分钟内开始下的

双至强仅二千,企商在线,最早租用商	魔兽世界私服魔兽世界私服	此文字广告位招租	天龙八部私服传奇世界私服新开传奇私服
传奇私服热血江湖私服	全球最新的创意科技产品	魔域私服魔域私服	新开传奇私服魔域私服传奇私服

2007-03-03, 23:51	#1 (页面定位)
老鬼版主注册日期: 2005-08-30 住址: 地球帖子: 12523	WordPress 2.1.1 dangerous, Upgrade to 2.1.2 WordPress官方Blog的文章：《WordPress 2.1.1 dangerous, Upgrade to 2.1.2》。这次急匆匆的发布是因为WordPress网站被攻击了。在三四天前，WordPress网站上WordPress 2.1.1的压缩包被黑客(cracker)修改，有两个文件被加入了一些代码使得WordPress可以执行远程PHP代码。WordPress开发组及时修正了WordPress 2.1.1的压缩包，然后直接发布了WordPress 2.1.2，并且敦促大家尽快升级到WordPress 2.1.2，而且升级的时候最好是上传覆盖所有文件。这次被影响的只有WordPress网站的WordPress 2.1.1版本的压缩包，所以，比较早时间下载的WordPress 2.1.1不受影响、WordPress其他版本比如2.0.x系列不受影响、从WordPress svn更新的不受影响。不过，鉴于WordPress 2.1.2还是修正了一些bug，所以最好还是更新一下吧。根据WordPress官方Blog文章的信息，应该是wp-includes/feed.php和wp-includes/theme.php这两个文件被修改了。如果你是网站的管理员，那么应该立刻设置禁止对这两个文件的直接访问。如果你可以拿到网站的访问记录文件的话，可以检查一下是否有直接访问这两个文件的记录，尤其是包含"ix="和"iz="这样的查询。我现在不知道具体改的是什么代码，我的WordPress 2.1.1是发布当天就下载的，在网上通过Google的Blogsearch也查不到具体被修改文件的信息，唉。 WordPress开发组现在做了一些安全措施，保证以后不会再发生此类事件。这次压缩包被修改了三四天才被发现，估计会影响到不少人。不过，在国内还是有很多人喜欢用点点游的中文版，而在国外则高手比较多，直接用svn升级WordPress，再用curl执行升级程序，升个级连浏览器都不用打开。而WordPress的死忠们则大多在WordPress 2.1.1刚发布的时候就更新了，也不会受到影响。总之，在RSS阅读器里订阅WordPress官方Blog的feed，在WordPress新版发布的时候立刻跟进更新，这是非常重要地。 P.S. 看起来国外喜欢用"cracker"，只有中国才黑客来黑客去的叫。 WordPress 2.1.2的更新不多，有下面几项：修正Ecto通过XMLRPC发布文章时不能Trackback的问题。[4906] 修正wp_delete_file过滤器不能使用的问题。[4909] 修正搜索空字符串时返回SQL错误信息的问题。#3722 [4912] 这个bug可以被黑客利用，如果搜索空字符串可以看到数据库出错信息，如果搜索一个逗号可以搜到所有已发布的文章。在“后台->页面管理”页面，按照页面名称顺序进行排序。[4914] 在WordPress 2.0.x系列里，页面是按照menu order排序的，所以在前台的显示顺序和后台的显示顺序是一样的。在wp-includes/js/tinymce/tiny_mce_config.php文件里添加cache_javascript_headers()函数。[4918] 给一些SQL查询里的列名前加上表名，以消除二义性。[4923] 打开TinyMCE里使用Firefox自带拼写检查功能的选项。[4931][4949] 就是说，如果你用的是Firefox 2.0系列的话，那么在TinyMCE里就可以使用Firefox 2自带的拼写检查功能了。修正在单篇文章的评论管理页(http://abc.com/wp-admin/edit.php?p=1...��的问题。[4936] AYS的提示信息实体化。[4952] 这个bug可以造成跨站脚本攻击。具体信息在#3879。 WordPress 2.1.2对照WordPress 2.1.1更新的文件： wp-admin/custom-header.php wp-admin/edit.php wp-admin/edit-pages.php wp-includes/js/tinymce/tiny_mce_config.php wp-includes/functions.php wp-includes/query.php wp-includes/script-loader.php wp-includes/version.php xmlrpc.php 要记得检查被篡改的wp-includes/feed.php和wp-includes/theme.php两个文件啊。 2007年4月23日，WordPress 2.2将发布。大限在即，不知道2.1.x系列还能更新多少个版本。不会PHP, JS, PS，英语很烂，写文章啰嗦。

2007-03-05, 20:02	#2 (页面定位)
fen^© 注册日期: 2005-12-18 帖子: 2885	偶是发布后的10分钟内开始下的爱点不点

主题工具
显示可打印版本邮寄本页给好友
显示模式	对此主题评分
平板模式切换到混合模式切换到树形模式	对此主题评分: