Представлен (https://wordpress.org/news/2015/04/powell/) релиз системы управления web-контентом WordPress 4.2 (https://wordpress.org/), написанной на языке PHP и ориентированной на создание блогов. Одновременно доступен (https://wordpress.org/news/2015/04/wordpress-4-1-2/) корректирующий выпуск WordPress 4.1.2, в котором устранена критическая уязвимость (https://cedricvb.be/post/wordpress-stored-xss-vulnerability-.../), позволяющая организовать подстановку JavaScript-кода при публикации комментариев. Эксплуатация производится через манипуляцию с 4-байтовыми символами Unicode - MySQL по умолчанию отрезает хвост строки, если встретился 4-байтовый символ, что может использовано атакующим для обхода кода чистки html-тегов в WordPress.Основные новшества WordPress 4.2 (http://codex.wordpress.org/Version_4.2):
- Полностью переработана функция Press This (http://codex.wordpress.org/Press_This), предоставляющая апплет для создания репостов и быстрой публикации материалов на основе содержимого любой web-страницы;
<center><a href="https://wordpress.org/news/files/2015/04/4.2-press-this-2.jp... src="http://www.opennet.me/opennews/pics_base/0_1429861328.jpg" style="border-style: solid; border-color: #e9ead6; border-width: 15px;max-width:100%;" title="" border=0></a></center>
- Упрощён интерфейс установки и обновления плагинов;<center><a href="https://wordpress.org/news/files/2015/04/4.2-plugins-300x230... src="http://www.opennet.me/opennews/pics_base/0_1429861296.png" style="border-style: solid; border-color: #606060; border-width: 1px;max-width:100%;" title="" border=0></a></center>
- Поддержка дополнительных наборов символов, включая китайские, корейские и японские иероглифы, музыкальные и математические знаки, символы emoji. Хранение данных в БД переведено c utf8 на 4-байтовый формат utf8mb4;
<center><img scale="0" src="https://s.w.org/images/core/emoji/72x72/1f499.png" alt="💙" draggable="false" class="emoji">, <img scale="0" src="https://s.w.org/images/core/emoji/72x72/1f438.png" alt="🐸" draggable="false" class="emoji">, <img scale="0" src="https://s.w.org/images/core/emoji/72x72/1f412.png" alt="🐒" draggable="false" class="emoji">, <img scale="0" src="https://s.w.org/images/core/emoji/72x72/1f355.png" alt="🍕" draggable="false" class="emoji"></center>- В Customizer добавлены инструменты для предпросмотра тем оформления и переключения на понравившуюся тему;
<center><a href="https://wordpress.org/news/files/2015/04/4.2-theme-switcher-... src="http://www.opennet.me/opennews/pics_base/0_1429861614.png" style="border-style: solid; border-color: #606060; border-width: 1px;max-width:100%;" title="" border=0></a></center>
- Функции наглядного встраивания контента в визуальном редакторе расширены поддержкой сервисов Tumblr.com и Kickstarter. Ранее поддерживалось встраивание через ссылку на YouTube, TED, Flickr, SlideShare, Vimeo и Spotify.- В WP_Query, WP_Comment_Query и WP_User_Query добавлена поддержка сложных схем упорядочивания вывода (в блоке orderby теперь можно использовать meta_query).
URL: https://wordpress.org/news/2015/04/powell/
Новость: http://www.opennet.me/opennews/art.shtml?num=42098
> ориентированной на создание блоговПрочитал ка "ориентированной на создание ботнетов" oO
Надо реже новости смотреть и начать уже спортом заниматься - укрепляет нервы. Меньше испугов будет.
картинки представляют разработчиков, наверное. дохлое сердце, зелёная жаба, тупая обезьяна и кусок сыра.я, в общем, примерно так всегда и думал.
>кусок сыраЭто скорее пицца. А пицца сложнее сыра. Наверное и умнее.
Так что всё не так уж и плохо.
>>кусок сыра
> Это скорее пицца. А пицца сложнее сыра. Наверное и умнее.
> Так что всё не так уж и плохо.ну да, больше похоже на пиццу с сыром. ок, паника отменяется.
> Хранение данных в БД переведено c utf8 на 4-байтовый формат utf8mb4;
> The difference between utf8 and utf8mb4 is that the former can only store 3 byte characters, while the latter can store 4 byte characters.Щито? В PHP какой то свой utf-8? Норкоманы.
Так то ж MySQL
Да, заинтриговало.https://dev.mysql.com/doc/refman/5.5/en/charset-unicode-utf8...
«As of MySQL 5.5.3, the utf8mb4 character set uses a maximum of four bytes per character supports supplemental characters:
For a BMP character, utf8 and utf8mb4 have identical storage characteristics: same code values, same encoding, same length.
For a supplementary character, utf8 cannot store the character at all, while utf8mb4 requires four bytes to store it. Since utf8 cannot store the character at all, you do not have any supplementary characters in utf8 columns and you need not worry about converting characters or losing data when upgrading utf8 data from older versions of MySQL.»
Т.е. речь идёт о том, что исторически в MySQL под utf8 понимается поддержка Unicode 3.0. Для поддержки новых версий юникода в MySQL 5.5 введён специальный тип кодирования - utf8mb4. Вордпресовцы это заметили и решили что им тоже нужна поддержка клинописи и египетских иероглифов.
Почему все новости про WP как-то связаны с уязвимостями?
> Почему все новости про WP как-то связаны с уязвимостями?1/ Не все. Изредка разбавляют просто релизами. Наверное. <Не в каждом же релизе, в самом деле?!>
2/ PHP: a fractal of bad design
Во втором пункте вы абсолютно правы: этот язык не написал ещё ни одной дельной программы, зато вынуждает программеров постоянно с ним воевать.
Пора программистам WordPress'а потихоньку, функция за функцией, переходить на Ruby, Python или Perl.
В очередной раз убеждаюсь, что моё давнишнее решение избегать мускула где только можно, было правильным.
А есть несерьёзные уязвимости? Ну, скажем, смешные уязвимости?
Я с Ghost просто ухохотался.
