Ergebnisse

Artikel-Schlagworte: „Sicherheitsproblem“

Eigentlich wäre 2.7 der nächste Release auf der Roadmap, allerdings bewog ein von Jeremias Reith entdeckter XSS Exploit, der virtuelle, IP-basierte Server unter Apache 2.x betrifft, das Team zur Veröffentlichung eines immediate Security Release. Notabene: der nahtlose Sprung von 2.6.3 auf 2.6.5 hat damit zu tun, dass vor einigen Tagen ein Fake 2.6.4er Release im (US)-Netz kursierte.

Wer nur den kritischen Fehler beheben will, überspielt die beiden Dateien feed.php und version.php im Verzeichnis /wp-includes/ mit den Pendants aus dem aktuellen Release. Allerdings werden mit der neuen Version noch weitere Minor Bugs behoben, eine genaue Liste der Updates finden Codewatcher im offiziellen WordPress Blog.

Die Causa 2.6.4 zeigt wieder einmal deutlich, dass WordPress *nur* von der offiziellen Seite heruntergeladen werden sollte - ob ein Update erforderlich ist, verrät seit einigen Releases ja praktischerweise ein im Backend eingeblendeter Hinweis.

WordPress-Blogger, die ihre Beiträge bebildern und/oder mit multimedialen Elementen ausschmücken, dürfte längst aufgefallen sein, dass der in WordPress eingebaute Flash-Uploader neuerdings seine Dienste versagt. Quickfix: einfach im Upload-Fenster auf Browser auf "Browser uploader" klicken, und schon flutscht der Upload wieder. Allerdings ist so kein Batch-Upload möglich, jedes Files muss einzeln auf den Server befördert werden:

Diesen Beitrag weiterlesen »

Das aktuellste WordPress-Update 2.5.1 sollte ganz dringend eingespielt werden, denn neben diversen Performance-Verbesserungen behebt der erste Bugfix für den 2.5er Branch auch ein schwerwiegendes Sicherheitsproblem mit der Registrierung.

Hier geht's zum Download von WordPress 2.5.1 (englischsprachige Version), die DE-Edition sowie das zugehörige Upgrade-Paket sind ebenfalls bereit zum Download.

Wer aus welchen Gründen auch immer vor dem kompletten Update zurückscheut, bekommt auf Wunsch auch nur die drei veränderten Dateien, die das erwähnte Registrierungsproblem beheben. Worum es sich bei dem Bug genau handelt, wird das WordPress-Team in Kürze bekannt geben, aber vorher sollen noch alle Blogger ausreichend Zeit zum Stopfen der Sicherheitslücke bekommen. Allerdings empfiehlt sich in jedem Fall ein Komplett-Upgrade, denn die Version 2.5.1 enthält auch zahlreiche Detailverbesserungen.

Wichtige Änderungen

• Die Konfigurationsdatei wp-config.php im Wordpress Root-Folder hat eine neue Variable namens "SECRET_KEY" bekommen. Hier wird ein Zufallsstring eingetragen, der die Randomizing-Funktion zum Generieren neue Passwörter sicherer macht. Generieren lassen kann man sich die betreffende Zeile hier (jeder Aufruf erzeugt einen neuen Zufalls-String), eingetragen werden muss die betreffende Zeile anschließend manuell.
• Der Media-Uploader wurde überarbeitet.
• Einige Layout-Fixes für den IE flossen in den aktuellen Release ein.
• Zusätzlich integrierten die Programmierer etliche Performance-steigernde Maßnahmen (vor allem für die Seiten Dashboard, Write Post, Edit Comments und für Blogs mit zahlreichen Kategorien) und einige Usability-Verbesserungen.

Weitere Infos gibt's am offiziellen WordPress Blog. Selbstverständlich sollte vor dem Einspielen des Updates ein vollständiges Backup von Datenbank und wp-Folder erfolgen.

PS: Mit der Version 2.5 sind die lokalisierten Sprachdateien von wp-includes/languages nach wp-content/languages gewandert - nach dem Update kann also der languages-Folder im wp-includes Folder ersatzlos gelöscht werden.

Ein Update jagt das nächste - diesmal geht's weniger um Komfort als vielmehr um einen schwerwiegendes Sicherheitsproblem in der XML-RPC-Einbindung, ein Update auf die aktuelle Version wird allen WordPress-BloggerInnen dringend empfohlen.

Konkret können unter bestimmen Voraussetzungen Beiträge von Personen, die eigentlich keine Editierrechte haben sollten, verändert werden, wie im offiziellen Entwicklerstatement nachzulesen ist:

If you have registration enabled a flaw was found in the XML-RPC implementation such that a specially crafted request would allow a user to edit posts of other users on that blog.

Dieser Drache wurde mit der aktuellen Version geköpft, außerdem mussten einige minor bugs dran glauben. Bei der Gelegenheit sei auch gleich vor WP-Forum gewarnt: die beliebte Board-Software leidet unter einem derzeit ungelösten Problem, bei dem Hacker Usernamen und Passwörter auslesen können, so das mysql-Datenbank Prefix bekannt ist.

Bei WordPress Deutschland gibt's sowohl die lokalisierte aktuelle Version als auch das Upgradepaket von 2.3.2 auf 2.3.3.