https://www.opennet.me/openforum/vsluhforumID3/102230.html Представлен (https://wordpress.org/news/2015/04/powell/) релиз системы управления web-контентом WordPress 4.2 (https://wordpress.org/), написанной на языке PHP и ориентированной на создание блогов. Одновременно доступен (https://wordpress.org/news/2015/04/wordpress-4-1-2/) корректирующий выпуск WordPress 4.1.2, в котором устранена критическая уязвимость (https://cedricvb.be/post/wordpress-stored-xss-vulnerability-4-1-2/), позволяющая организовать подстановку JavaScript-кода при публикации комментариев. Эксплуатация производится через манипуляцию с 4-байтовыми символами Unicode - MySQL по умолчанию отрезает хвост строки, если встретился 4-байтовый символ, что может использовано атакующим для обхода кода чистки html-тегов в WordPress.<br><br><br><br><br><br><br><br>Основные новшества WordPress 4.2 (http://codex.wordpress.org/Version_4.2):<br><br><br>- Полностью переработана функция Press This (http://codex.wordpress.org/Press_This), предоставляющая апплет для создания репостов и быстрой публикации материалов на основе содержимого лю https://www.opennet.me/openforum/vsluhforumID3/102230.html#20 Sat, 25 Apr 2015 16:51:41 GMT Я с Ghost просто ухохотался.<br> https://www.opennet.me/openforum/vsluhforumID3/102230.html#16 Sat, 25 Apr 2015 12:40:01 GMT А есть несерьёзные уязвимости? Ну, скажем, смешные уязвимости?<br> https://www.opennet.me/openforum/vsluhforumID3/102230.html#14 Fri, 24 Apr 2015 20:02:49 GMT Во втором пункте вы абсолютно правы: этот язык не написал ещё ни одной дельной программы, зато вынуждает программеров постоянно с ним воевать.<br>Пора программистам WordPress'а потихоньку, функция за функцией, переходить на Ruby, Python или Perl.<br> https://www.opennet.me/openforum/vsluhforumID3/102230.html#12 Fri, 24 Apr 2015 19:58:49 GMT Надо реже новости смотреть и начать уже спортом заниматься - укрепляет нервы. Меньше испугов будет.<br> https://www.opennet.me/openforum/vsluhforumID3/102230.html#11 Fri, 24 Apr 2015 12:07:23 GMT В очередной раз убеждаюсь, что моё давнишнее решение избегать мускула где только можно, было правильным.<br> https://www.opennet.me/openforum/vsluhforumID3/102230.html#10 Fri, 24 Apr 2015 10:18:11 GMT Да, заинтриговало.<br><br>https://dev.mysql.com/doc/refman/5.5/en/charset-unicode-utf8mb4.html<br><br>&#171;As of MySQL 5.5.3, the utf8mb4 character set uses a maximum of four bytes per character supports supplemental characters:<br><br> For a BMP character, utf8 and utf8mb4 have identical storage characteristics: same code values, same encoding, same length.<br><br> For a supplementary character, utf8 cannot store the character at all, while utf8mb4 requires four bytes to store it. Since utf8 cannot store the character at all, you do not have any supplementary characters in utf8 columns and you need not worry about converting characters or losing data when upgrading utf8 data from older versions of MySQL.&#187;<br><br>Т.е. речь идёт о том, что исторически в MySQL под utf8 понимается поддержка Unicode 3.0. Для поддержки новых версий юникода в MySQL 5.5 введён специальный тип кодирования - utf8mb4. Вордпресовцы это заметили и решили что им тоже нужна поддержка клинописи и египетских иероглифов.<br> https://www.opennet.me/openforum/vsluhforumID3/102230.html#9 Fri, 24 Apr 2015 09:42:42 GMT &gt; Почему все новости про WP как-то связаны с уязвимостями?<br><br>1/ Не все. Изредка разбавляют просто релизами. Наверное. &lt;Не в каждом же релизе, в самом деле?!&gt;<br>2/ PHP: a fractal of bad design<br> https://www.opennet.me/openforum/vsluhforumID3/102230.html#8 Fri, 24 Apr 2015 09:39:38 GMT Почему все новости про WP как-то связаны с уязвимостями?<br> https://www.opennet.me/openforum/vsluhforumID3/102230.html#6 Fri, 24 Apr 2015 08:39:52 GMT Так то ж MySQL<br>