Занимаюсь реализацией пинга для MaxSite CMS и как-то возник «философский вопрос»: «А нафига?». Дабы понять о чем речь, кратенько расскажу об этих технологиях. Я уже когда-то их описывал и теперь немного технической информации.

Дело в том, что пинги работают по такому алгоритму: мой сайт получив запрос от чужого сайта, должен отправиться на чужой сайт и проверить а) наличие указания на пинг-сервер (XMLRPC), б) найти в тексте ссылку на мой сайт. Если условия выполнены, то на моем сайте появляется комментарий.

Трекбак работает чуть по другому. Вместо того, чтобы отправляться на чужой сайт, мой сайт просто ставит трекбак на премодерацию. Но трекбак с чужого сайта передает и текст для комментария. А в нем может быть всё, что угодно.

Обе технологии уже скомпроментированы, поскольку давно взяты на вооружение спамерами.

Далее...

Данная уязвимость позволяет злоумышленнику выполнить деструктивные действия в блоге. Для того, чтобы воспользоваться уязвимостью необходимы права автора и выше.

Для исправления скачайте и замените файл upload-functions.php.

http://maxsite.org/wp-files/wp221-pack1.zip Исправление уязвимости WordPress 2.2.1

По идее, недавно должен был выйти WordPress 2.0.11, но поскольку к 2.0.10 найдена только одна ошибка, то и выпуска новой верии скорее всего не будет. Поэтому всё, что я могу сейчас сделать, так это выложить это единственное исправление. А вы уже сами решайте новая ли это версия WordPress или нет.

Данная уязвимость позволяет выполнить произвольный SQL-код злоумышленнику. Для обновления просто загрузите файл (pluggable-functions.php) своей кодировки в каталог «wp-includes».

http://maxsite.org/wp-files/wp210-pack1.zip Обновление для WordPress 2.0.10

Не так давно была найдена довольно серьезная уязвимость WordPress 2.2, позволяющая удаленно выполнить произвольный SQL-запрос. Для исправления этой уязвимости нужно обновить всего один файл xmlrpc.php. Он находится в главном каталоге.

http://maxsite.org/wp-files/wp220-maxsite-org-xmlrpc.zip Обновление xmlrpc.php для WordPress 2.2

Версию WordPress 2.0.10 уязвимость не затрагивает.

Несколько дней назад появились сведения об обнаружении дефекта WordPress. Суть проблемы сводится к тому, что пользователь, имеющий доступ к админ-панели (например, какой-либо зарегистрировавшийся участник), сможет выполнить произвольный JavaScript-код и с его помощью получить информацию других участников, которые хранятся в cookies (теоретически).

Уязвимыми считаются версии 2.0.4 и 2.0.5. На официальном сайте этот дефект описан и уже будет исправлен в 2.0.6. На всякий случай я сделал обновление файлов и вы можете их самостоятельно установить.

В файле архива я поместил обновленные файлы для версий 2.0.4 и 2.0.5 во всех кодировках. Просто выберите нужный вам файл и загрузите его в каталог /wp-admin/.

http://maxsite.org/wp-files/wp-204-205-pack04.zip WP-204-205-PACK-04;

Данную ошибку обнаружил Тарас. Я не сразу сообразил, каким образом она появляется.

Далее...

Благодаря Сергею Волкову удалось найти и исправить неприятный баг при работе с кэшем.

Далее...