Lançado WordPress 4.0.1, atualização de segurança

Acabamos de lançar a versão pt_BR do WordPress 4.0.1. Essa é uma atualização de segurança. Abaixo tradução do anúncio do release:

O WordPress 4.0.1 está disponível agora. Esta é uma atualização de segurança crítica para todas a versões anteriores e nós recomendamos fortemente que vocês atualizem seus sites imediatamente.

Sites que suportam atualizações automáticas em segundo plano serão atualizados para o WordPress 4.0.1 dentro de poucas horas. Se você ainda usa o WordPress 3.9.2, 3.8.4, or 3.7.4, ele será atualizado para 3.9.3, 3.8.5, or 3.7.5 para manter tudo seguro. (Nós não suportamos versões mais antigas, portanto por favor atualize para o 4.0.1 para ter o mais recente e melhor).

As versões do WordPress 3.9.2 e anteriores são afetadas por uma vulnerabilidade crítica de script entre sites, que pode permitir que usuários anônimos comprometam um site. Isto foi reportado por Jouko Pynnonen. Este problema não afeta a versão 4.0, mas a versão 4.0.1 corrige estes oito problemas de segurança:

  • Três problemas de script entre sites em que um colaborador ou autor poderia usar para comprometer um site. Descoberto por Jon Cave, Robert Chapin, e John Blackbourn da equipe de segurança do WordPress.
  • Uma requisição falsa entre sites que poderia ser usada para enganar o usuário levando-o a alterar sua senha.
  • Um problema que poderia implicar em negação de serviço quando as senhas são conferidas. Reportado por Javier Nieto Arevalo e Andres Rojas Guerrero.
  • Proteções adicionais para ataques de requisições falsas no lado do servidor quando o WordPress faz requisições de HTTP. Reportado por Ben Bidner (vortfu).
  • Uma colisão de hash extremamente improvável poderia permitir que a conta de um usuário fosse comprometida, ela também precisava que ele não tivesse feito login desde 2008 (eu gostaria de estar brincando). Reportado por David Anderson.
  • Agora o WordPress invalida os links em um email de reconfiguração de senha se o usuário lembra a sua senha, faz login e altera seu endereço de email. Reportado separadamente por Momen Bassel, Tanoy Bose, e Bojan Slavković de ManageWP.

A versão 4.0.1 também corrige 23 bugs do 4.0 e nós também fizemos duas mudanças de fortalecimento, incluindo melhor validação de dados EXIF que extraímos de fotos enviadas. Reportado por Chris Andrè Dale.

Nós agradecemos o divulgação responsável destes problemas diretamente para nossa equipe de segurança. Para mais informações, veja as notas do release ou consulte a lista de alterações.

Faça o download do WordPress 4.0.1 ou vá para o Painel → Atualizações e apenas clique em “Atualizar Agora”.

Já está testando o WordPress 4.1? Agora o segundo beta está disponível (zip) e ele contém essas correções de segurança. Para mais sobre o 4.1, veja o post de anúncio do beta 1.