WordPress 2.6.3 – dringendes Sicherheitsrelease

Heute Nacht wurde WordPress 2.6.3 als Sicherheitsrelease veröffentlicht. Es wird dringend empfohlen alle WordPress-Installationen zu aktualisieren. Die beiden betroffenen Dateien sind:

  • wp-includes/class-snoopy.php
  • wp-includes/version.php

Den Download gibt’s wie immer bei WordPress.org – die deutsche Version bei WordPress-Deutschland.org.

Weitere Informationen zur Sicherheitslücke gibts bei Secunia.

WordPress 2.6.2 – Sicherheitsrelease

Ohne große Vorankündigung wurde heute Nacht deutscher Zeit die Version 2.6.2 von WordPress released. Man umgeht dabei eine Gefahr mit SQL Column Truncations, auf die Stefan Esser kürzlich hingewiesen hatte. Wichtig ist dieses Update in erster Linie für Blogger, die öffentliche Benutzerregistrierungen auf ihrem WordPress-Blog ermöglichen. Mit Hilfe des in 2.6.1 enthaltenen Codes ist es bei Neuregistrierungen möglich mit Hilfe des Benutzernamens das Passwort eines anderen Benutzers auf ein neues (zufällig generiertes) Passwort zurückzusetzen. Da dem Angreifer das zufällig generierte Passwort nicht bekannt wird, ist dies kein ernsthaftes Sicherheitsproblem, aber auf jeden Fall ärgerlich.

Auch andere Anwendungen als WordPress könnten von diesem Problem betroffen sein. Ändern lässt sich das entweder mit Hilfe von Updates für die jeweiligen Anwendungen oder durch ein Update von Suhosin. Dafür ist aber natürlich Zugriff auf den Server nötig um die PHP-Erweiterung zu installieren/aktualisieren. Im Zweifelsfall hilft vielleicht ein Hinweis an den Webhoster.

[via]

WordPress 2.6.1 ist kein Sicherheitsrelease

Wordpress Dandy LogoAm gestrigen Freitag wurde WordPress 2.6.1 veröffentlicht. Bei diesem Release handelt es sich um einen der keinerlei Sicherheitsprobleme behebt und damit für Blogs nicht notwendig bei denen alles wie gewünscht funktioniert.

Behoben werden mit 2.6.1 vor allem Probleme die in Verbindung mit dem IIS (Internet Information Server) und dem IE (Internet Explorer) auftreten. Außerdem wurden Gettext-Fehler und Probleme im Adminbereich bei RTL-Sprachen (Right-to-left => von rechts nach links geschriebene Sprachen) beseitigt.

Ingesamt gab es 60 Bugfixes an denen man im Einzelfall die Notwendigkeit eines Updates herausfinden kann. Auch die deutsche Version (alternativ bei WPDE.org) ist mittlerweile veröffentlicht worden.

WordPress 2.3.3: Dringendes Sicherheitsupdate

Noch zeigt der Updatemonitor von WordPress die Version 2.3.2 als aktuell an, vor zirka einer Stunde jedoch wurde WordPress 2.3.3 als dringendes Sicherheitsupdate released. Vor allem für Multiautorenblogs und Blogs mit Registrierungsfunktion ist das Update dringend empfohlen. „WordPress 2.3.3: Dringendes Sicherheitsupdate“ weiterlesen

WordPress 2.2.1 fertig zum Download

Ryan Boren hat auf WordPress.org den Release der Version 2.2.1 verkündet. Diese Version, die einen Monat nach der Veröffentlichung der 2.2 erscheint, ist ein reiner Bugfixrelease. Es wurden einige Fehler behoben, die in den vergangenen Wochen von der Community entdeckt und gemeldet wurden. „WordPress 2.2.1 fertig zum Download“ weiterlesen

WordPress: Sicherheitsupdate und Aussichten

Seit gestern steht erneut ein Sicherheitsupdate für die beliebte Blogware WordPress. Die Versionen 2.0.10 und 2.1.3 stehen bereits in der DE-Edition zur Verfügung. Die Aktualisierung von WordPress-Blogs wird dringend empfohlen. „WordPress: Sicherheitsupdate und Aussichten“ weiterlesen

Plesk 8.1.1 – Update – wieder mal Probleme

Gestern Abend hab‘ ich den Server hier auf Plesk 8.1.1 (von 8.1.0) upgedatet. Leider führt das (wieder einmal) zu heftigen Problemen. Diesmal ist’s der Mailserver (qmail) der allem Anschein nach keine Mails mehr versendet. Die queue beinhaltet aktuell über 700 Mails, aber verschickt werden keine. Zwischenzeitlich hatte er auch die Annahme weiterer Mails verweigert, das scheint nun wenigstens wieder zu klappen.

Daraus bitte folgendes schlussfolgern:

  • alle Plesk-Admins bitte nicht updaten (offenbar gibts teilweise auch noch andere Probleme – siehe diverse Foren)
  • alle Mailversender -> alle Mails ab gestern Abend 20 Uhr sind potentiell nicht angekommen und tun es auch weiterhin nicht. In dringenden Fällen bitte anrufen oder Gmail-Adresse verwenden (siehe Impressum)

WordPress Bug mit Proxies + PHP 5.2.x

Das ProxyProblem scheint gelöst und Mike’s Verdacht war gar nicht so verkehrt.

Es handelt sich offenbar um einen known Bug in WordPress, der nur Auftritt wenn PHP 5.2.x auf dem Server läuft und der Besucher über einen Proxy zugreift. Es betrifft wohl sämtliche 2.x-Versionen. Ich habe den die beschriebene Änderung nun in 5 Blogs durchgeführt und das Problem scheint überall weg zu sein. Der Fix für diesen Bug ist ganz leicht – einfach die hier beschriebene Zeile in wp-includes/functions.php mit dem Minus davor gegen die mit dem Plus davor austauschen.

Dann klappts auch mit den Proxies. Ich hoffe das kann auch jeder Bestätigen der vorher Probleme hatte ;)

WordPress-Sicherheitslücke nicht in DE-Edition

Vorab: Dies gilt nur für die Version 2.1.1 und nur für die englische Originalversion!

Ein Hacker hat sich in den letzten Tagen Zugriff zu einem der WordPress.org-Server verschafft und hat das Downloadpaket für die Version 2.1.1 (und ausschliesslich das) verändert. Die Veränderung ermöglicht XSS (Crossite-Scripting, also das ausführen externen PHP-Codes bzw. SQL-Abfragen).

Problem lösen? 2.1.1 von WordPress.org (englisch) nochmal runterladen und alle Dateien auf den Server hochladen (überschreiben).

Die Übersetzung der englischen Stellungnahme von WordPress gibt’s hier.

Update: Es gibt nun doch ein Update der DE-Edition auf Version 2.1.2 welches dringend empfohlen wird. Das deckt sich leider nicht mit der Aussage von Olaf im anderen Beitrag. Ich habe dort in den Kommentaren bereits nachgefragt und werde die Info nachreichen.

Update 2: Mittlerweile gibt es einen deutlichen Hinweis beim Download der 2.1.2:

Nur um das nochmal klar zu stellen: die DE-Edition 2.1.1 war nicht vom “worst Case” betroffen, wurde nicht verändert und enthält keinen schadhaften Code. Wer die DE-Edition runtergeladen und installiert hat, ist nicht betroffen.