GreenSmilies

Den zuletzt angesprochenen Bug schließt die vor ein paar Tagen erschienene Version 2.2.1 - das deutsche Update-Paket gibt es hier.

Die Version 2.0.10 ist davon nicht betroffen.

Nachtrag:

Version 2.2.1 des populären Blog-Systems WordPress bringt nicht nur einige Fixes für simple Bugs mit, sondern stopft auch drei Sicherheitslöcher. So nutzt WordPress die Klasse PHPMailer, um Mails per sendmail oder PHPs mail() zu verschicken. Leider steckt in PHPMailer 1.7.3 eine Lücke, mit der es über präparierte Sender-Parameter möglich ist, Befehle an die Shell zu übergeben und ausführen zu lassen. […] Darüber hinaus ist in WordPress nun offiziell eine SQL-Injection-Lücke beseitigt, mit der unautorisierte Zugriffe auf die zugrunde liegende Datenbank möglich waren. […] Zuletzt haben die Entwickler noch ein Cross-Site-Scripting-Problem (XSS) im Default-Theme von WordPress behoben. […]

Quelle: heise

Gerade im heise-Newsletter gelesen:

Eine SQL-Injection-Lücke in Wordpress gefährdet die Sicherheit von Blogsystemen. Auf Milw0rm wurde ein Exploit veröffentlicht, der unautorisierte Zugriffe auf die zugrunde liegende Datenbank ermöglichen soll. Schuld ist die Funktion wp.suggestCategories im Modul xmlrpc.php, die Nutzerparameter nicht richtig filtert. Dadurch ist es möglich, eigene Befehle an die Datenbank zu übergeben und etwa Inhalte zu manipulieren oder Namen und Passwort-Hashes anderer Nutzer einzusehen. Für einen erfolgreichen Angriff ist allerdings eine vorherige Authentifizierung erforderllich.

Betroffen ist nur Version 2.2!

Es ist mal wieder Zeit für ein Sicherheitsupdate, welches Dank der deutschen Wordpress-Community auch reibungslos wie immer abläuft.

Sowohl für das Update von 2.0.9 auf 2.0.10 als auch von 2.1.2 auf 2.1.3 gibt es hier die passenden Downloads.

Nur beim “Upgradepaket für 2.0.9 auf 2.0.10″ ist mir aufgefallen, das Akismet nicht im Unterordner “plugins” von “wp-content” liegt, dies sollte man vor dem Update berücksichtigen!

Wer in den letzten 4 Tagen von wordpress.org das Update auf 2.1.1 heruntergeladen hat, der sollte sofort auf 2.1.2 aktualisieren. Laut des verlinkten Beitrages, hatte ein Hacker Zugriff auf den Download-Server und hat zwei Dateien der 2.1.1 Version modifiziert.

Die DE-Edition 2.1.1 ist nicht davon betroffen.

In der Version 2.1.2 wurden aber auch andere Fehler behoben, deshalb wird ein Upgrade empfohlen. Das Upgradepaket der DE-Version von 2.1.1 auf 2.1.2 kann hier heruntergeladen werden.

Hier noch die deutsche übersetzung des englischen Beitrags von wordpress.org.

PS: 2.0.x ist nicht vom Update betroffen!

Wie auf Golem und WordPress.de angekündigt, gibt es mal wieder ein WordPress Update! Eigentlich wurde die Lücke schon mit 2.0.8 geschlossen, nur wurde diese Version nie offiziell angekündigt - warum auch immer?!

Auch WP 2.1 User müssen diesmal updaten! Für beide Updates gilt es schnell zu handeln, da es ein Sicherheitsrelease ist. Das Update ist aber wie immer sehr einfach und beschränkt sich auf das simple Ersetzen weniger Dateien.