WordPress 4.6.1 Security and Maintenance Release

Salve,
come da titolo, il 7 settembre 2016 è uscito l'aggiornamento di WordPress 4.6.1
(https://wordpress.org/news/2016/09/w...nance-release/)

Attualmente mi risulta che la versione di WordPress installabile nella sezione "Applicazioni"
sia solo la 4.6, sbaglio?
Se non è aggiornata, l'aggiornerete a breve o mi converrà installare WP manualmente?

[karl94]

L'aggiornamento a WordPress 4.6.1 non è ancora disponibile su AlterVista. Aggiornare manualmente WordPress è sconsigliabile, in quanto perderesti le funzionalità aggiuntive fornite da AlterVista.
C'è qualche novità particolare introdotta nella versione 4.6.1 che ti è necessaria?

L'aggiornamento a WordPress 4.6.1 non è ancora disponibile su AlterVista.

Capisco, avete in programma di effettuare l'aggiornamento? (security release pubblicata già da una ventina di giorni)

Aggiornare manualmente WordPress è sconsigliabile, in quanto perderesti le funzionalità aggiuntive fornite da AlterVista.

Per questo nessun problema.

C'è qualche novità particolare introdotta nella versione 4.6.1 che ti è necessaria?

Non so se è pratico degli aggiornamenti di WP. L'aggiornamento 4.6.1 è un aggiornamento di "sicurezza" non di "novità".
Se legge il comunicato ufficiale potrà comprendere meglio e documentarsi, sicuramente meglio di quanto potrei spiegarle io.

Di seguito una citazione del comunicato:
<< WordPress versions 4.6 and earlier are affected by two security issues: a cross-site scripting vulnerability via image filename , reported by SumOfPwn researcher Cengiz Han Sahin; and a path traversal vulnerability in the upgrade package uploader, reported by Dominik Schilling from the WordPress security team. >>

[karl94]

Capisco, avete in programma di effettuare l'aggiornamento? (security release pubblicata già da una ventina di giorni)

Sì, come sempre vengono resi disponibili gli aggiornamenti di WordPress.

Per questo nessun problema.

Ricorda comunque che poi ritornare alla versione di AlterVista non è semplice: è necessario effettuare una nuova installazione.

Non so se è pratico degli aggiornamenti di WP. L'aggiornamento 4.6.1 è un aggiornamento di "sicurezza" non di "novità".

Sì, è un aggiornamento che risolve due vulnerabilità di sicurezza, oltre ad includere altre modifiche non di sicurezza.
Le due vulnerabilità sono però a mio parere estremamente difficili da sfruttare: la prima necessita che un utente con i permessi di caricare file sul blog vada ad inserire un file con nome che include codice HTML malevolo, la seconda invece riguarda un specifico processo di caricamento file che permette il caricamento di file in posizioni non previste del filesystem.
Quindi la prima oltre che essere abbastanza difficile da sfruttare, se non ingannando direttamente gli amministratori sprovveduti che non si accorgono che il nome del file è lunghissimo e contiene svariati caratteri strani, non concede grandi risultati ad un eventuale attaccante malevolo in quanto permette solo HTML injection; il secondo invece proprio non vedo come possa essere sfruttato a meno che non si usino plugin vecchissimi e che usano API risalenti alla versione 3.3.

Sì, come sempre vengono resi disponibili gli aggiornamenti di WordPress.

Bene, entro quanto prevede venga reso disponibile l'aggiornamento?

Le due vulnerabilità sono però a mio parere estremamente difficili da sfruttare...

Essendo un suo parere lo rispetto, ma non lo condivido. Grazie per aver espresso la sua opinione.

[karl94]

Bene, entro quanto prevede venga reso disponibile l'aggiornamento?

Non è ancora disponibile una data di rilascio.

Essendo un suo parere lo rispetto, ma non lo condivido. Grazie per aver espresso la sua opinione.

Adesso sono curioso però: posso chiederti come mai? Ritieni che le due vulnerabilità in questione siano estremamente gravi ed ad alto rischio?