WordPress-Sicherheitslücke nicht in DE-Edition

VonHelmi

Vorab: Dies gilt nur für die Version 2.1.1 und nur für die englische Originalversion!

Ein Hacker hat sich in den letzten Tagen Zugriff zu einem der WordPress.org-Server verschafft und hat das Downloadpaket für die Version 2.1.1 (und ausschliesslich das) verändert. Die Veränderung ermöglicht XSS (Crossite-Scripting, also das ausführen externen PHP-Codes bzw. SQL-Abfragen).

Problem lösen? 2.1.1 von WordPress.org (englisch) nochmal runterladen und alle Dateien auf den Server hochladen (überschreiben).

Die Übersetzung der englischen Stellungnahme von WordPress gibt’s hier.

Update: Es gibt nun doch ein Update der DE-Edition auf Version 2.1.2 welches dringend empfohlen wird. Das deckt sich leider nicht mit der Aussage von Olaf im anderen Beitrag. Ich habe dort in den Kommentaren bereits nachgefragt und werde die Info nachreichen.

Update 2: Mittlerweile gibt es einen deutlichen Hinweis beim Download der 2.1.2:

Nur um das nochmal klar zu stellen: die DE-Edition 2.1.1 war nicht vom “worst Case” betroffen, wurde nicht verändert und enthält keinen schadhaften Code. Wer die DE-Edition runtergeladen und installiert hat, ist nicht betroffen.

Ähnliche Beiträge

  • Rico der Bastelkater

    VonHelmi

    Nach vielen Monaten ist es mal wieder Zeit den aktuellen Wachstumsstand von unserem kleinen norwegischen Waldkater zu dokumentieren. Rico ist jetzt ziemlich genau 9 Monate alt und seit letztes Jahr Juli bei uns. Über die Zeit hat er sich gut eingefunden und hält mittlerweile uns und die restliche Katzenbande auf trab. Bastelsessions mit Steffi sind…

  • Neues Design (beta) online

    VonHelmi

    Wie angekündigt habe ich soeben das neue Design online gestellt. Von dem was ich mir vorgenommen habe sind ungefähr 70% bereits fertig. Was sich bereits geändert hat: Link-Pong ist nicht mehr Das Editieren von Kommentaren klappt nun Kommentare wurden mit einer Live-Vorschau ausgestattet Kommenater haben nun Quicktags zur einfach Formatierung Trackbacks wurden von Kommentaren separiert…

  • Domainr – Crazy Domain Research

    VonHelmi

    Gestern bin ich via Friendfeed auf einen lustigen Webdienst gestoßen. Nach Eingabe eines Begriffs werden kurzerhand alle möglichen Domains ausgespuckt die zusammen mit der Top-Level-Domain (TLD) oder sogar weiteren Unterverzeichnissen den Begriff ergeben. Für „Helmschrott“ sieht das z.B. so aus: Leider scheint der Domainr keine Subdomains einzubeziehen. So wäre ja zum Beispiel Helm.schro.tt auch möglich….

  • iPhone4 aus UK direkt von Apple (via Borderlinx)

    VonHelmi

    Wie bereits im iPhone4-ohne-Vertrag-Artikel beschrieben war meine Geduld mit T-Mobile aus verschiedenen Gründen am Ende. Das iPhone 4 sollte ohne Vertragsbindung und möglichst ohne Netlock gekauft werden. Im Gegensatz zu bisherigen iPhone-Modellen sollte sich das beim iPhone 4 als leichter herausstellen als gedacht. Dafür sorgte unter anderem der Umstand, dass das begehrte Apple Smartphone in…

  • Vodafone: Es gab nur einen Fehler

    VonHelmi

    Vodafone hat sich gerelauncht. Das ist sicherlich an keinem von Euch vorbei gegangen. Vergangene Woche – genauer am 11.07.2009 – hat man in Begleitung einer Menge Social-Media-Gedöns die Marke Vodafone in aufpolierter Form präsentiert. So ganz geglückt ist das nicht, wenngleich das Kind sicher noch nicht komplett in den Brunnen gefallen ist. Die Reaktionen bei…

2 Kommentare

  1. Pingback: Wordpress 2.1.2 at Punctilio
  2. Pingback: datenschmutz.net » WP 2.1.x User: Dringend auf 2.1.2 upgraden! - ritchie pettauer schreibt über web 2.0, medien.kultur.technik und objects trouvés im www

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert