官方原文:

Version 3.0.4 of WordPress, available immediately through the update page in your dashboard or for download here, is a very important update to apply to your sites as soon as possible because it fixes a core security bug in our HTML sanitation library, called KSES. I would rate this release as “critical.”

I realize an update during the holidays is no fun, but this one is worth putting down the eggnog for. In the spirit of the holidays, consider helping your friends as well.

If you are a security researcher, we’d appreciate you taking a look over this changeset as well to review our update. We’ve given it a lot of thought and review but since this is so core we want as many brains on it as possible. Thanks to Mauro Gentile and Jon Cave (duck_) who discovered and alerted us to these XSS vulnerabilities first.

岁末将至，WordPress官方于29号发布了WorPress 3.0.4，这是一个非常重要的更新，修复了被称为KSES的HTML sanitation library中的一个核心安全问题。该更新被评为关键，建议用户立即更新。

你可通过后台进行自动更新，也可以下载文件进行手动更新。

下载地址：zip | tar.gz

WordPress 官方刚刚发布了 WordPress 3.0 系列第三个更新 WordPress 3.0.3。这是一个针对所有版本的安全更新。
WordPress 3.0.3 主要修正了一个远程发布错误。在某种情况下，这个bug会允许作者、贡献者一级的用户错误地进行编辑、发布或者删除文章。

这个问题只影响启用远程发布的WordPress网站。

默认远程发布功能是关闭的，但是你可以在WordPress控制台的“设置–撰写”里面进行设置。启用其功能可以让你通过手机或者电脑客户端软件进行文章发布。

WordPress 3.0.3 也可以通过“控制台->更新”进行升级。或者，点击这里下载 WordPress 3.0.3。

正如WordPress官方日志所称，WordPress 3.0.2 中文版官方版如期发布WordPress 3.0.2已正式发布此版本修复了一个安全漏洞：在以往版本，拥有作者权限的用户可以通过某种方式获得站点的更高权限。

同时，修正了数个 bug、增强了安全性能。

下载:WordPress 3.0.2 官方简体中文版

WordPress 3.1 beta 1刚发布几天，WordPress就爆出了安全漏洞。WordPress官方紧急发布了WordPress 3.0.2，在后台可以看到升级提示。

最关键的是，这个安全漏洞影响到了WordPress之前发布的所有版本的WordPress。

WordPress安全漏洞描述：

This maintenance release fixes a moderate security issue that could allow a malicious Author-level user to gain further access to the site, addresses a handful of bugs, and provides some additional security enhancements. Big thanks to Vladimir Kolesnikov for detailed and responsible disclosure of the security issue！

WordPress 3.0.2的发布主要修复一个常规的安全漏洞，这个漏洞可以让别有目的的用户获得更多的用户数据，3.0.2的发布，除了修复了这个功能，对WordPress常规的安全也做了更新，使得WordPress更加安全。

感谢Vladimir Kolesnikov为这个安全漏洞提供详细的说明。

WordPress 3.0.2 下载地址：http://wordpress.org/latest.zip

官方原文

Posted November 30, 2010 by Mark Jaquith. Filed under Releases,Security.

WordPress 3.0.2 is available and is a mandatory security update for all previous WordPress versions. Haiku has become traditional:

Fixed on day zero
One-click update makes you safe
This used to be hard

This maintenance release fixes a moderate security issue that could allow a malicious Author-level user to gain further access to the site, addresses a handful of bugs, and provides some additional security enhancements. Big thanks to Vladimir Kolesnikov for detailed and responsible disclosure of the security issue!

Download 3.0.2 or update automatically from the Dashboard > Updates menu in your site’s admin area. You should update immediately even if you do not have untrusted users.

最近开源开发社区正在进行异常激烈的辩论，其结果将对软件分享和传播产生广泛影响。WordPress创始人Matt Mullenweg认为Chris Pearson（WordPress Thesis主题框架的开发者）的做法违反了WordPress所遵守的通用公共许可（GPL）协议。双方争执不下，并有可能走上法庭，这会对免费软件发布带来哪些影响呢？遵守GPL协议的代码必须做到免费、开源，并且相关的“第三方”代码也必须遵守GPL。Mullenweg认为GPL是WordPress世界的“权利法案”，因为它可以保护核心的自由。

Mullenweg要求软件自由法律中心（SFLC）澄清WordPress主题是否需要遵守GPL。SFLC发现使用WordPress版权代码的PHP文件受GPL保护，但主题的图片和CSS不在此列。换言之，汽车引擎受保护，而涂料和车身不在保护范围内。

Pearson则认为自己的收费WordPress主题和框架不受GPL的约束，因为它“完全独立于WordPress”。Mullenweg对此表示反对。

你可以开发任何东西，但是在GPL协议基础上开发的东西必须也要遵守GPL。这是问题的关键。

Matt Mullenweg双方都亮明了自己的观点但双方的争论没有任何实质进展，只是引起了更多注意。
“WordPress把与其合作的东西当做自己不可分割的一部分，这么做的依据是什么？WordPress为什么要什么都管，即便另一个项目的范围远远超过WordPress本身？” Pearson问道。

Mullenweg则表示，“WordPress遵守GPL协议，该协议为数万人提供了开发项目的机会。该协议认为你可以开发任何东西，但是在GPL协议基础上开发的东西必须也要遵守GPL。这是问题的关键。WordPress系统就是这样运转的。”

开发社区在这个问题上的看法也不统一，但似乎支持Mullenweg和WordPress的人占优。但不幸的是这种辩论对一个开源社区来说是不利的，如果动用法律手段，后果更加严重。