datenschmutz » Sicherheitsproblem

WordPress-Update: Version 2.6.5 verfügbar

Ritchie Blogfried Pettauer — Sat, 29 Nov 2008 15:20:31 +0000

Eigentlich wäre 2.7 der nächste Release auf der Roadmap, allerdings bewog ein von Jeremias Reith entdeckter XSS Exploit, der virtuelle, IP-basierte Server unter Apache 2.x betrifft, das Team zur Veröffentlichung eines immediate Security Release. Notabene: der nahtlose Sprung von 2.6.3 auf 2.6.5 hat damit zu tun, dass vor einigen Tagen ein Fake 2.6.4er Release im (US)-Netz kursierte.

Wer nur den kritischen Fehler beheben will, überspielt die beiden Dateien feed.php und version.php im Verzeichnis /wp-includes/ mit den Pendants aus dem aktuellen Release. Allerdings werden mit der neuen Version noch weitere Minor Bugs behoben, eine genaue Liste der Updates finden Codewatcher im offiziellen WordPress Blog.

Die Causa 2.6.4 zeigt wieder einmal deutlich, dass WordPress *nur* von der offiziellen Seite heruntergeladen werden sollte — ob ein Update erforderlich ist, verrät seit einigen Releases ja praktischerweise ein im Backend eingeblendeter Hinweis.

Copyright © 2010 Ritchie Pettauer / datenschmutz
Dieser Volltext RSS-Feed wird ausschließlich für die private, nicht-kommerzielle Verwendung im Feedreader bereit gestellt. Über Zitate mit Backlink freue ich mich, eine Wiederveröffentlichung des ungekürzten Volltexts auf Dritt-Webseiten ist allerdings untersagt. Wenn Sie datenschmutz Updates auf Ihrer Homepage einbinden möchten, dann verwenden Sie bitte den Exzerpt-Feed.
Wenn Sie diese Meldung auf einer Homepage sehen, wurde der betreffende Beitrag widerrechtlich und ohne die Zustimmung des Autors veröffentlicht.
Digitaler Fingerabdruck / digital Fingerprint: c1d7d6ed6691c7c25dbb043c9a689294

WordPress: Flash-Upload funktioniert nicht (mehr)

Ritchie Blogfried Pettauer — Sat, 08 Nov 2008 09:56:15 +0000

WordPress–Blogger, die ihre Beiträge bebildern und/oder mit multimedialen Elementen ausschmücken, dürfte längst aufgefallen sein, dass der in WordPress eingebaute Flash-Uploader neuerdings seine Dienste versagt. Quickfix: einfach im Upload–Fenster auf Browser auf “Browser uploader” klicken, und schon flutscht der Upload wieder. Allerdings ist so kein Batch–Upload möglich, jedes Files muss einzeln auf den Server befördert werden:

Das gleiche gilt für das beliebte NextGen Gallery Plugin: auch hier muss man beim Einzelbildupload auf den Browser-Uploader umsteigen (Button “Deaktiviere Batch-Upload”), ein Zip-File hochladen oder wahlweise die Bilder via ftp auf den Server befördern und dann vom passenden Verzeichnis importieren. Diese plötzliche Dienstunwilligkeit des Flash-Uploaders hat aber rein gar nichts mit dem letzten WordPress–Update zu tun, sondern Flash macht die Probleme: beim Sprung von der Version 9 auf die 10 mussten dringend einige Sicherheitslöcher gefixt werden. Diese Änderungen führen unter anderem dazu, dass es nicht mehr möglich ist, im SWF-Uploader via JavaScript den Dateiauswahl-Dialog aufzurufen. Symptomatisch gestaltet sich das Problem so, dass der Click auf “Chose Files” eben gar keine Redaktion produziert.

Wie gesagt beschränkt sich der “Bug” nicht auf WordPress, sondern betrifft sämtliche Websoftware, die den SWF Uploader nutzt. WordPress Deutschland schreibt, dass bereits mit Hochdruck an der Beseitigung des Problems gearbeitet wird. Weitere technische Details findet man bei Heise und bit-101.com.

Ächtüng: Ein Downgrade auf Flash 9 ist zwar technisch möglich, aufgrund der gravierenden und nun bekannten Sicherheitsprobleme aber *nicht* zu empfehlen! An der Lösung des Problems wird mit Hochdruck gearbeitet, bis ein Fix verfügbar ist, empfiehlt es sich dringend, mit dem Browser Uploader zu arbeiten!

WP-Security Update: Version 2.5.1

Ritchie Blogfried Pettauer — Tue, 29 Apr 2008 11:51:43 +0000

Das aktuellste WordPress-Update 2.5.1 sollte ganz dringend eingespielt werden, denn neben diversen Performance–Verbesserungen behebt der erste Bugfix für den 2.5er Branch auch ein schwerwiegendes Sicherheitsproblem mit der Registrierung.

Hier geht’s zum Download von WordPress 2.5.1 (englischsprachige Version), die DE-Edition sowie das zugehörige Upgrade-Paket sind ebenfalls bereit zum Download.

Wer aus welchen Gründen auch immer vor dem kompletten Update zurückscheut, bekommt auf Wunsch auch nur die drei veränderten Dateien, die das erwähnte Registrierungsproblem beheben. Worum es sich bei dem Bug genau handelt, wird das WordPress-Team in Kürze bekannt geben, aber vorher sollen noch alle Blogger ausreichend Zeit zum Stopfen der Sicherheitslücke bekommen. Allerdings empfiehlt sich in jedem Fall ein Komplett-Upgrade, denn die Version 2.5.1 enthält auch zahlreiche Detailverbesserungen.

Wichtige Änderungen

Die Konfigurationsdatei wp-config.php im WordPress Root-Folder hat eine neue Variable namens “SECRET_KEY” bekommen. Hier wird ein Zufallsstring eingetragen, der die Randomizing-Funktion zum Generieren neue Passwörter sicherer macht. Generieren lassen kann man sich die betreffende Zeile hier (jeder Aufruf erzeugt einen neuen Zufalls-String), eingetragen werden muss die betreffende Zeile anschließend manuell.
Der Media-Uploader wurde überarbeitet.
Einige Layout-Fixes für den IE flossen in den aktuellen Release ein.
Zusätzlich integrierten die Programmierer etliche Performance-steigernde Maßnahmen (vor allem für die Seiten Dashboard, Write Post, Edit Comments und für Blogs mit zahlreichen Kategorien) und einige Usability–Verbesserungen.

Weitere Infos gibt’s am offiziellen WordPress Blog. Selbstverständlich sollte vor dem Einspielen des Updates ein vollständiges Backup von Datenbank und wp-Folder erfolgen.

PS: Mit der Version 2.5 sind die lokalisierten Sprachdateien von wp-includes/languages nach wp-content/languages gewandert — nach dem Update kann also der languages-Folder im wp-includes Folder ersatzlos gelöscht werden.

WordPress Sicherheits-Update: Version 2.3.3

Ritchie Blogfried Pettauer — Wed, 06 Feb 2008 05:02:56 +0000

Ein Update jagt das nächste — diesmal geht’s weniger um Komfort als vielmehr um einen schwerwiegendes Sicherheitsproblem in der XML-RPC–Einbindung, ein Update auf die aktuelle Version wird allen WordPress–BloggerInnen dringend empfohlen.

Konkret können unter bestimmen Voraussetzungen Beiträge von Personen, die eigentlich keine Editierrechte haben sollten, verändert werden, wie im offiziellen Entwicklerstatement nachzulesen ist:

If you have registration enabled a flaw was found in the XML-RPC implementation such that a specially crafted request would allow a user to edit posts of other users on that blog.

Dieser Drache wurde mit der aktuellen Version geköpft, außerdem mussten einige minor bugs dran glauben. Bei der Gelegenheit sei auch gleich vor WP-Forum gewarnt: die beliebte Board–Software leidet unter einem derzeit ungelösten Problem, bei dem Hacker Usernamen und Passwörter auslesen können, so das mysql-Datenbank Prefix bekannt ist.

Bei WordPress Deutschland gibt’s sowohl die lokalisierte aktuelle Version als auch das Upgradepaket von 2.3.2 auf 2.3.3.