GreenSmilies

heise berichtete, dass es in diversen Themes für WordPress, darunter auch das Standard-Theme, eine XSS-Lücke gibt.

Ihr könnt sehr einfach testen ob euer Theme ebenfalls betroffen ist, indem ihr ihn mit dieser Adresse aufruft:
http://<URL>/index.php/index.php/"><script>alert()</script>

Ein vorläufiger Workaround besteht jedoch darin, im Verzeichnis des verwendeten Themes – in der Regel wp-content/themes/Theme-Name/ – in den Dateien searchform.php und sidebar.php nach dem Ausdruck

action="<?php echo $_SERVER['PHP_SELF']; ?>"

zu suchen und ihn durch

action="<?php echo htmlspecialchars($_SERVER['PHP_SELF']); ?>"

zu ersetzen. Dies rüstet für die Ausgabe die zusätzliche Filterfunktion htmlspecialchars() nach und verhindert die Ausnutzung der Schwachstelle.

Ich höre das nächste Update schon trapsen!

Es ist mal wieder Zeit für ein Sicherheitsupdate, welches Dank der deutschen Wordpress-Community auch reibungslos wie immer abläuft.

Sowohl für das Update von 2.0.9 auf 2.0.10 als auch von 2.1.2 auf 2.1.3 gibt es hier die passenden Downloads.

Nur beim “Upgradepaket für 2.0.9 auf 2.0.10″ ist mir aufgefallen, das Akismet nicht im Unterordner “plugins” von “wp-content” liegt, dies sollte man vor dem Update berücksichtigen!

Wer in den letzten 4 Tagen von wordpress.org das Update auf 2.1.1 heruntergeladen hat, der sollte sofort auf 2.1.2 aktualisieren. Laut des verlinkten Beitrages, hatte ein Hacker Zugriff auf den Download-Server und hat zwei Dateien der 2.1.1 Version modifiziert.

Die DE-Edition 2.1.1 ist nicht davon betroffen.

In der Version 2.1.2 wurden aber auch andere Fehler behoben, deshalb wird ein Upgrade empfohlen. Das Upgradepaket der DE-Version von 2.1.1 auf 2.1.2 kann hier heruntergeladen werden.

Hier noch die deutsche übersetzung des englischen Beitrags von wordpress.org.

PS: 2.0.x ist nicht vom Update betroffen!

Wie auf Golem und WordPress.de angekündigt, gibt es mal wieder ein WordPress Update! Eigentlich wurde die Lücke schon mit 2.0.8 geschlossen, nur wurde diese Version nie offiziell angekündigt – warum auch immer?!

Auch WP 2.1 User müssen diesmal updaten! Für beide Updates gilt es schnell zu handeln, da es ein Sicherheitsrelease ist. Das Update ist aber wie immer sehr einfach und beschränkt sich auf das simple Ersetzen weniger Dateien.

Für die WordPress 2.0.x-Reihe hat WordPress gestern ein Sicherheitsrelease auf Version 2.0.8 veröffentlicht. Bei WordPress Deutschland kann sowohl eine Upgrade für das Einspielen in eine bestehende WordPress 2.0.7 Installation als auch eine WordPress 2.0.8 Vollversion heruntergeladen werden.

Das Update ist einfach wie eh und je, Dateien bei WordPress herunterladen, entpacken und rauf auf den Server.

WordPress 2.1-Nutzer können sich entspannt zurücklehnen, denn für sie ist das Update nicht relevant. WordPress hatte mit der Veröffentlichung von WP 2.1 angekündet, für die WP 2.0.x-Reihe noch mehrere Jahre Sicherheitsupdates zu bieten, was hiermit erstmals nach Erscheinen von WP 2.1 erfolgt ist.

Meinereiner wird auch bald auf 2.1 umsteigen, vorher müssen aber alle Plugins auf ihre Tauglichkeit überprüft werden.