GreenSmilies

Gerade im heise-Newsletter gelesen:

Eine SQL-Injection-Lücke in Wordpress gefährdet die Sicherheit von Blogsystemen. Auf Milw0rm wurde ein Exploit veröffentlicht, der unautorisierte Zugriffe auf die zugrunde liegende Datenbank ermöglichen soll. Schuld ist die Funktion wp.suggestCategories im Modul xmlrpc.php, die Nutzerparameter nicht richtig filtert. Dadurch ist es möglich, eigene Befehle an die Datenbank zu übergeben und etwa Inhalte zu manipulieren oder Namen und Passwort-Hashes anderer Nutzer einzusehen. Für einen erfolgreichen Angriff ist allerdings eine vorherige Authentifizierung erforderllich.

Betroffen ist nur Version 2.2!

Wie jeder seinem “Tellerrand” sicher schon entnommen hat: WordPress 2.2 ist da! Neben neuen Funktionen wie den Widgets, wurden auch über 200 Support-Tickets geschlossen. Da ich noch immer mit 2.0.x arbeite, kann ich auch gar nicht viel mehr zur neusten Version schreiben, aber ich denke, ein Update steht auch hier bald ins Haus.

Schade ist nur, dass die Tagging-Funktion aus 2.2 wieder rausgeflogen ist und erst mit 2.3 kommen soll.

PS: Ich habe es erst heute gelesen, aber heise berichtet hier, dass die Plug-ins myFlash, wordTube und wp-Table eine Sicherheitslücke beherbergen.

heise berichtete, dass es in diversen Themes für WordPress, darunter auch das Standard-Theme, eine XSS-Lücke gibt.

Ihr könnt sehr einfach testen ob euer Theme ebenfalls betroffen ist, indem ihr ihn mit dieser Adresse aufruft:
http://<URL>/index.php/index.php/"><script>alert()</script>

Ein vorläufiger Workaround besteht jedoch darin, im Verzeichnis des verwendeten Themes - in der Regel wp-content/themes/Theme-Name/ - in den Dateien searchform.php und sidebar.php nach dem Ausdruck

action="<?php echo $_SERVER['PHP_SELF']; ?>"

zu suchen und ihn durch

action="<?php echo htmlspecialchars($_SERVER['PHP_SELF']); ?>"

zu ersetzen. Dies rüstet für die Ausgabe die zusätzliche Filterfunktion htmlspecialchars() nach und verhindert die Ausnutzung der Schwachstelle.

Ich höre das nächste Update schon trapsen!

Es ist mal wieder Zeit für ein Sicherheitsupdate, welches Dank der deutschen Wordpress-Community auch reibungslos wie immer abläuft.

Sowohl für das Update von 2.0.9 auf 2.0.10 als auch von 2.1.2 auf 2.1.3 gibt es hier die passenden Downloads.

Nur beim “Upgradepaket für 2.0.9 auf 2.0.10″ ist mir aufgefallen, das Akismet nicht im Unterordner “plugins” von “wp-content” liegt, dies sollte man vor dem Update berücksichtigen!

Wer in den letzten 4 Tagen von wordpress.org das Update auf 2.1.1 heruntergeladen hat, der sollte sofort auf 2.1.2 aktualisieren. Laut des verlinkten Beitrages, hatte ein Hacker Zugriff auf den Download-Server und hat zwei Dateien der 2.1.1 Version modifiziert.

Die DE-Edition 2.1.1 ist nicht davon betroffen.

In der Version 2.1.2 wurden aber auch andere Fehler behoben, deshalb wird ein Upgrade empfohlen. Das Upgradepaket der DE-Version von 2.1.1 auf 2.1.2 kann hier heruntergeladen werden.

Hier noch die deutsche übersetzung des englischen Beitrags von wordpress.org.

PS: 2.0.x ist nicht vom Update betroffen!