GreenSmilies

Noch bevor ich es im Dashboard gelesen habe, springt mir bei Perun die Meldung ins Auge, dass es ein WordPress-Sicherheitsupdate gibt! Wer nun denkt, er habe 2.6.4 verpennt, kann aufatmen, denn 2.6.4 wurde wegen der Fake-Version übersprungen. Zum Update reicht es aus, fünf Dateien zu aktualisieren:

• /wp-includes/feed.php
• /wp-includes/version.php
• /wp-includes/post.php
• /xmlrpc.php
• /wp-admin/users.php

Die ersten Beiden, schließen die Sicherheitslücke.

Mehr Infos gibt es bei Perun und im offiziellen WP-Blog.

*Update*

Das deutsche Update-Paket ist verfügbar.

Es gab eine kleine Sicherheitslücke im Feed-Fetcher (das Teil holt die News, die man im Dashboard sieht) von WordPress. Wer schnell updaten will, braucht nicht lange zu warten und muss nur zwei Dateien aktualisieren:

• wp-includes/class-snoopy.php
• wp-includes/version.php

Das wars auch schon.

PS: Da hätten sie auch gleich den Flash-Uploader mit reparieren können.

*Nachtrag*

Und weil es so schön war, hat man im lokalisierten Standard-Theme noch eine XSS-Lücke entdeckt und behoben.

Huch, ohne viel Tamtam gab es heute Nacht ein WordPress-Update auf 2.6.2, Frank beschreibt das Problem verständlich:

… eine Gefahr mit SQL Column Truncations, auf die Stefan Esser kürzlich hingewiesen hatte. Wichtig ist dieses Update in erster Linie für Blogger, die öffentliche Benutzerregistrierungen auf ihrem WordPress-Blog ermöglichen. Mit Hilfe des in 2.6.1 enthaltenen Codes ist es bei Neuregistrierungen möglich mit Hilfe des Benutzernamens das Passwort eines anderen Benutzers auf ein neues (zufällig generiertes) Passwort zurückzusetzen. …

Das ist zwar ärgerlich, aber der Angreifer bekommt dieses Passwort nicht. Betroffen sind somit vor allem Blogs, mit aktivier Registrierung. Hier geht es zu den englischen News/Download auf WordPress.org, an der deutschen Version wird bereits gearbeitet.

*Nachtrag*

Hier nun das deutsche Upgradepaket für 2.6.1 auf 2.6.2. Wer nicht immer auf dieses Upgradepaket warten will, der kann sich auch über das Changelog auf WordPress.org anzeigen lassen, welche Dateien erneuert wurden. Das Changelog vom 2.6.2 gibt es hier. Unter den Links “See the full changeset for 2.6.2″ oder “WordPress Version 2.6.2 was comprised of security and bug fixes.” findet ihr dann eine Liste von den 12 zu aktualisierenden Dateien, diese könnt ihr dann aus dem englischsprachigen Download herausnehmen und habt somit euer eigenes Upgradepaket.

Kurz nach dem Release von 2.6 steht mal wieder ein Update ins Haus und viele werden jetzt denken “Sicherheitsupdate?”, aber nein falsch gedacht, 2.6.1 behebt zwar eine menge von Fehlern, aber bei all denen wo 2.6 ohne Probleme läuft ist das Update nicht notwendig.

In anderen Worten, 2.6 ist kein Sicherheitsupdate sondern ein Fix der Fehler, die das WordPress-Team zum Release von 2.6 nicht mehr beheben konnte. Welche das sind, könnt ihr im englischsprachigen Blog nachlesen.

Die meisten dürfen also auf 2.6.2 warten.

*Nachtrag*

Die DE-Version ist nun auch hier verfügbar.

Nach nicht einmal vier Monaten, nach dem Erscheinen von 2.5 und ein Monat früher als geplant ist unter dem namen “Tyner” Version 2.6 von WordPress erschienen. Die wohl größte Neuerung ist das Versionssystem für jeden Beitrag, genannt “Post Revisions”, Änderungen sind somit, ähnlich wie in einem Wiki, vergleichbar und können mit einem klick wieder rückgängig gemacht werden.

Themes können nun vorab getestet werden, bevor sie live geschalten werden. Einen schönen Überblick über die Änderungen, gibt das Video auf WordPress.org.

Viel Spass beim Updaten! Das Plugin-System soll sich kaum gegenüber 2.5 geändert haben und somit können die meisten Plugins problemlos weiterarbeiten.

*Update*

Hier gibt es die deutsche Version.