WordPress 2.6.2 – Sicherheitsrelease

Ohne große Vorankündigung wurde heute Nacht deutscher Zeit die Version 2.6.2 von WordPress released. Man umgeht dabei eine Gefahr mit SQL Column Truncations, auf die Stefan Esser kürzlich hingewiesen hatte. Wichtig ist dieses Update in erster Linie für Blogger, die öffentliche Benutzerregistrierungen auf ihrem WordPress-Blog ermöglichen. Mit Hilfe des in 2.6.1 enthaltenen Codes ist es bei Neuregistrierungen möglich mit Hilfe des Benutzernamens das Passwort eines anderen Benutzers auf ein neues (zufällig generiertes) Passwort zurückzusetzen. Da dem Angreifer das zufällig generierte Passwort nicht bekannt wird, ist dies kein ernsthaftes Sicherheitsproblem, aber auf jeden Fall ärgerlich.

Auch andere Anwendungen als WordPress könnten von diesem Problem betroffen sein. Ändern lässt sich das entweder mit Hilfe von Updates für die jeweiligen Anwendungen oder durch ein Update von Suhosin. Dafür ist aber natürlich Zugriff auf den Server nötig um die PHP-Erweiterung zu installieren/aktualisieren. Im Zweifelsfall hilft vielleicht ein Hinweis an den Webhoster.

[via]

WordPress 2.0.7 lässt weiter auf sich warten

Mark Jaquith hat eben über die wp-testers Mailingliste WordPress 2.0.7 RC2 veröffentlicht und beschwert sich ein klein wenig über die fehlenden Reports bzgl. verschiedener Systemem, auf denen er die 2.0.7. vor dem Release gerne noch testen würde.

I’m still looking for feedback from IIS users and people running PHP < 4.3 on CGI or FastCGI.  I can only test so many environments, so I have to rely on all of you to fill in the gaps.  If you could install 2.0.7-RC2 within the next 24 hours and leave feedback (even if it’s just „my environment is: [server], [sapi], [php version] and I had no problems“), that helps.

Also wer solche „Sonderfälle“ bieten kann, wird gebeten dort die 2.0.7. RC2 zu testen und über die Mailingliste an Mark zu berichten. Der Dank der Community sei ihm/ihr sicher ;)

2.0.7 will be officially released very soon, so this is your last chance to let us know if your server environment is having problems.  Also note that the fixes made to 2.0.7 also apply to 2.1, so you’re helping keep that release on track as well.

Es ist also nun wirklich kurz vor Schluß bzgl. 2.0.7. Das wird auch Zeit, denn für den Release der 2.1. halten Matt & Co. den 22. Januar im Auge – heute ist bereits der 15.

WordPress 2.0.6 inkl. Security Fix

Bei Robert, Frank Bültge und dem Security Focus war bereits davon zu lesen. Nun ist es offiziell. Es gibt ein kritisches Sicherheits-Update für WordPress.

Wie Matt Mullenweg im WordPress Development Blog schreibt, ist der jetzige Release der Version 2.0.6 der letzte in der 2.0-Serie. Die folgende Version 2.1 gibt’s seit gestern oder so als Beta und wird seit langem erstmals wieder neue Features bringen.

Meine Meinung: Das wird höchste Zeit. WordPress schien in den letzten Monaten (abgesehen von Sicherheitsfixes) geradezu stillzustehen.

Die aktuelle Version von WordPress (2.0.6) gibt’s hier zum download. Wer zum ausprobieren gerne die 2.1 beta anschauen will, darf sich hier bedienen.

[tags]wordpress,update,security,fix,bugfix[/tags]