WordPress 2.6.2 – Sicherheitsrelease

Ohne große Vorankündigung wurde heute Nacht deutscher Zeit die Version 2.6.2 von WordPress released. Man umgeht dabei eine Gefahr mit SQL Column Truncations, auf die Stefan Esser kürzlich hingewiesen hatte. Wichtig ist dieses Update in erster Linie für Blogger, die öffentliche Benutzerregistrierungen auf ihrem WordPress-Blog ermöglichen. Mit Hilfe des in 2.6.1 enthaltenen Codes ist es bei Neuregistrierungen möglich mit Hilfe des Benutzernamens das Passwort eines anderen Benutzers auf ein neues (zufällig generiertes) Passwort zurückzusetzen. Da dem Angreifer das zufällig generierte Passwort nicht bekannt wird, ist dies kein ernsthaftes Sicherheitsproblem, aber auf jeden Fall ärgerlich.

Auch andere Anwendungen als WordPress könnten von diesem Problem betroffen sein. Ändern lässt sich das entweder mit Hilfe von Updates für die jeweiligen Anwendungen oder durch ein Update von Suhosin. Dafür ist aber natürlich Zugriff auf den Server nötig um die PHP-Erweiterung zu installieren/aktualisieren. Im Zweifelsfall hilft vielleicht ein Hinweis an den Webhoster.

[via]

WordPress 2.3.3: Dringendes Sicherheitsupdate

Noch zeigt der Updatemonitor von WordPress die Version 2.3.2 als aktuell an, vor zirka einer Stunde jedoch wurde WordPress 2.3.3 als dringendes Sicherheitsupdate released. Vor allem für Multiautorenblogs und Blogs mit Registrierungsfunktion ist das Update dringend empfohlen. „WordPress 2.3.3: Dringendes Sicherheitsupdate“ weiterlesen

WordPress 2.2.1 fertig zum Download

Ryan Boren hat auf WordPress.org den Release der Version 2.2.1 verkündet. Diese Version, die einen Monat nach der Veröffentlichung der 2.2 erscheint, ist ein reiner Bugfixrelease. Es wurden einige Fehler behoben, die in den vergangenen Wochen von der Community entdeckt und gemeldet wurden. „WordPress 2.2.1 fertig zum Download“ weiterlesen

WordPress: Sicherheitsupdate und Aussichten

Seit gestern steht erneut ein Sicherheitsupdate für die beliebte Blogware WordPress. Die Versionen 2.0.10 und 2.1.3 stehen bereits in der DE-Edition zur Verfügung. Die Aktualisierung von WordPress-Blogs wird dringend empfohlen. „WordPress: Sicherheitsupdate und Aussichten“ weiterlesen

WordPress-Sicherheitslücke nicht in DE-Edition

Vorab: Dies gilt nur für die Version 2.1.1 und nur für die englische Originalversion!

Ein Hacker hat sich in den letzten Tagen Zugriff zu einem der WordPress.org-Server verschafft und hat das Downloadpaket für die Version 2.1.1 (und ausschliesslich das) verändert. Die Veränderung ermöglicht XSS (Crossite-Scripting, also das ausführen externen PHP-Codes bzw. SQL-Abfragen).

Problem lösen? 2.1.1 von WordPress.org (englisch) nochmal runterladen und alle Dateien auf den Server hochladen (überschreiben).

Die Übersetzung der englischen Stellungnahme von WordPress gibt’s hier.

Update: Es gibt nun doch ein Update der DE-Edition auf Version 2.1.2 welches dringend empfohlen wird. Das deckt sich leider nicht mit der Aussage von Olaf im anderen Beitrag. Ich habe dort in den Kommentaren bereits nachgefragt und werde die Info nachreichen.

Update 2: Mittlerweile gibt es einen deutlichen Hinweis beim Download der 2.1.2:

Nur um das nochmal klar zu stellen: die DE-Edition 2.1.1 war nicht vom “worst Case” betroffen, wurde nicht verändert und enthält keinen schadhaften Code. Wer die DE-Edition runtergeladen und installiert hat, ist nicht betroffen.

WordPress Sicherheits-Update: 2.0.8

Für alle WordPress-Nutzer, die noch nicht auf 2.1 umgestiegen sind, gibt es seit heute morgen ein Sicherheitsupdate. Neue Versionsnummer ist damit 2.0.8. Das Update-Paket umfasst nur wenige Dateien. Die Datenbank wird dabei nicht upgedatet. Der ganze Zauber ist im Normfall in wenigen Minuten passiert.

Download-Links und ein bischen mehr Text gibt’s im deutschen WordPress-Blog.