Die – auch hier im Blog eingesetzte – Blog- und CMS-Software WordPress gibt es nun in der Version 2.0.6, mit der u.a. zwei Sicherheitslücken geschlossen werden (siehe auch www.heise.de):
Die erste, von Stefan Esser, der kürzlich resigniert das PHP-Security-Team verließ, beim Hardened-PHP Project beschriebene Sicherheitslücke nutzt die mbstring-Erweiterung von PHP, mit der es WordPress ermöglicht, bei so genannten Trackbacks zwischen verschiedenen Zeichensätzen zu konvertieren. […] Ein Beispiel-Exploit schafft es so, zuerst die Warnmeldungen an den Andministrator abzuschalten, um dann die Hash-Werte der Passwörter auszulesen.
Der zweite Angriff gehört in die Rubrik Cross Site Scripting (XSS). Der eingebaute CSRF-Schutz (Cross Site Request Forgery) von WordPress hat einen Fehler, sodass ein Angreifer einem eingelogten Benutzer oder Administrator URLs so unterschieben kann, dass die darin enthaltenen Befehle mit seinen Rechten ausgeführt werden.
Weiterhin wurden kleine Verbesserungen vorgenommen (siehe auch wordpress.org, englisch):
Here’s what’s new:
- The aforementioned security fixes.
- HTML quicktags now work in Safari browsers.
- Comments are filtered to prevent them from messing up your blog layout.
- Compatibility with PHP/FastCGI setups.
For developers, there’s a new anti-XSS function called attribute_escape(), and a new filter called “query†which allows you filter any SQL at runtime. (Which is pretty powerful.) Thanks to Mark Jaquith for handling this release and Stefan Esser for responsibly reporting the security issue.
Die aktuelle (englischsprachige) Version steht als ZIP-Archiv unter wordpress.org[2] zum Download bereit. Auch die DE-Edition kann zwischenzeitlich als aktualisiertes Komplett-Paket sowie als Paket mit den geänderten Dateien heruntergeladen werden: blog.wordpress-deutschland.org
An einigen Stellen gab es Hinweise, dass es nach dem Update auf WordPress 2.0.6 Probleme mit den RSS-Feeds und dabei speziell mit den über Feedburner realisierten Feeds gab. Auch wenn hier im Blog bei der Umstellung alles glatt lief, finden sich jedenfalls weitere Informationen für Betroffene unter jowra.com sowie unter markjaquith.wordpress.com (englisch).
Und noch ein Hinweis – diesmal für die „Ressourcensparer“: Das Plugin WP-Cache 2.0 (mnm.uib.es/gallir) zur Zwischenspeicherung der Blog-Seiten gibt es mittlerweile in der Version 2.0.21 (siehe auch mnm.uib.es/gallir[2]). Das erinnert mich daran, dass ich wohl etwas häufiger auf Aktualisierungen bei den Plugins achten sollte…
(u.a. via www.perun.net, bueltge.de, www.golem.de)
Hallo Stefan,
es gibt mittlerweile auch die neue Version 2.1 – dort wurden viele Sachen behoben, repsektive auch der neue Bug der in dieser version 2.0.6 enthalten ist. SISCHERHEIT!
Greez Manuel
Hallo Manuel,
danke für den Hinweis – mitgekriegt habe ich beide Update-Varianten (2.0.7 und 2.1) schon, hänge aber ziemlich mit dem Bloggen hinterher 🙁