WordPress 4.0.1 : rien que pour vos failles
La dernière mise à jour de WordPress corrige plusieurs failles de sécurité, dont l’une critique permettant l’injection de code malveillant dans des pages Web.
Lancé début septembre, WordPress 4.0 « Benny » a donné davantage d’agilité au back-office à travers une refonte du gestionnaire de médias, l’intégration de solutions supplémentaires pour l’import de contenus externes et une expérience d’installation simplifiée pour les plugins.
Cette mise à jour a aussi apporté son lot de correctifs, résolvant notamment un défaut de sandbox qui pouvait permettre l’exécution de code tiers via les iframes audio/vidéo. Mais une faille critique était passée outre les mailles du filet : de type « Cross-Site Scripting » (XSS), elle permet d’injecter du code dans des pages Web pour déclencher des actions particulières, typiquement la redirection vers un site malveillant.
Les changements d’architecture réalisés avec WordPress 4.0 font que cette version n’est pas touchée. Ce n’est pas le cas pour les moutures antérieures du CMS. Bilan, il est urgent de réaliser la mise à niveau en version 4.0.1, disponible depuis le jeudi 20 novembre. Aucune mesure particulière à prendre sur les sites qui supportent l’update automatique. Pour les autres, le téléchargement s’effectue sur cette page.
Les versions 3.9.2, 3.8.4 et 3.7.4 sont elles aussi mises à jour, respectivement en 3.9.3, 3.8.5 et 3.7.5. Pour ceux qui utilisent une mouture encore plus ancienne, « il est grand temps de se moderniser », selon Automattic, l’éditeur américain qui a pris WordPress sous son aile.
WordPress 4.0.1 corrige d’autres failles moins importantes : deux de type XSS, une pouvant entraîner une attaque par déni de service distribuée (DDoS) lors de la vérification d’un mot de passe… et une autre de type « Cross-Site Request Forgery » (CSRF). Celle-ci permet de contourner les mécanismes d’authentification en faisant réaliser à la victime des actions à son insu – généralement des requêtes HTTP.
Sur la liste des nouveautés figurent aussi des protections additionnelles côté serveur et la capacité, pour WordPress, d’invalider les liens contenus dans les e-mails de réinitialisation de mot de passe si l’utilisateur s’en souvient entretemps, se connecte et change d’adresse mail. Reste une brèche un peu particulière : les développeurs n’entrent pas dans les détails, mais évoquent une collision « extrêmement improbables » de caractères spéciaux qui pourrait permettre de corrompre le compte d’un utilisateur… si celui-ci ne s’est pas connecté depuis 2008.
Crédit photo : Vladimir Koletic – Shutterstock.com