Gerade bin ich unter www.tauchtwas.net über ein schönes Zitat gestolpert, das wohl von Johann Wolfgang von Goethe stammt:
Das Wasser ist ein freundliches Element für den, der damit bekannt ist und es zu behandeln weiß.
Auch wenn ich mir ziemlich sicher bin, dass das Sporttauchen mit Pressluft zu Lebzeiten Goethes (1749-1832) noch nicht die heutige Popularität erreicht hat, muss ich doch uneingeschränkt feststellen: Er hat Recht behalten 😉
Die – auch hier im Blog eingesetzte – Blog- und CMS-Software WordPress gibt es nun in der Version 2.0.6, mit der u.a. zwei Sicherheitslücken geschlossen werden (siehe auch www.heise.de):
Die erste, von Stefan Esser, der kürzlich resigniert das PHP-Security-Team verließ, beim Hardened-PHP Project beschriebene Sicherheitslücke nutzt die mbstring-Erweiterung von PHP, mit der es WordPress ermöglicht, bei so genannten Trackbacks zwischen verschiedenen Zeichensätzen zu konvertieren. […] Ein Beispiel-Exploit schafft es so, zuerst die Warnmeldungen an den Andministrator abzuschalten, um dann die Hash-Werte der Passwörter auszulesen.
Der zweite Angriff gehört in die Rubrik Cross Site Scripting (XSS). Der eingebaute CSRF-Schutz (Cross Site Request Forgery) von WordPress hat einen Fehler, sodass ein Angreifer einem eingelogten Benutzer oder Administrator URLs so unterschieben kann, dass die darin enthaltenen Befehle mit seinen Rechten ausgeführt werden.
Weiterhin wurden kleine Verbesserungen vorgenommen (siehe auch wordpress.org, englisch):
Here’s what’s new:
- The aforementioned security fixes.
- HTML quicktags now work in Safari browsers.
- Comments are filtered to prevent them from messing up your blog layout.
- Compatibility with PHP/FastCGI setups.
For developers, there’s a new anti-XSS function called attribute_escape(), and a new filter called “query†which allows you filter any SQL at runtime. (Which is pretty powerful.) Thanks to Mark Jaquith for handling this release and Stefan Esser for responsibly reporting the security issue.
Die aktuelle (englischsprachige) Version steht als ZIP-Archiv unter wordpress.org[2] zum Download bereit. Auch die DE-Edition kann zwischenzeitlich als aktualisiertes Komplett-Paket sowie als Paket mit den geänderten Dateien heruntergeladen werden: blog.wordpress-deutschland.org
An einigen Stellen gab es Hinweise, dass es nach dem Update auf WordPress 2.0.6 Probleme mit den RSS-Feeds und dabei speziell mit den über Feedburner realisierten Feeds gab. Auch wenn hier im Blog bei der Umstellung alles glatt lief, finden sich jedenfalls weitere Informationen für Betroffene unter jowra.com sowie unter markjaquith.wordpress.com (englisch).
Und noch ein Hinweis – diesmal für die „Ressourcensparer“: Das Plugin WP-Cache 2.0 (mnm.uib.es/gallir) zur Zwischenspeicherung der Blog-Seiten gibt es mittlerweile in der Version 2.0.21 (siehe auch mnm.uib.es/gallir[2]). Das erinnert mich daran, dass ich wohl etwas häufiger auf Aktualisierungen bei den Plugins achten sollte…
(u.a. via www.perun.net, bueltge.de, www.golem.de)
Bereits vor drei Wochen wurde die neueste Version des Browsers Opera (9.10, Download unter www.opera.com) veröffentlicht. Und eigentlich sah es auch eher nach einem „kosmetischen Update“ aus (siehe auch www.golem.de):
Der norwegische Browser Opera ist in der Version 9.1 erschienen und wartet nun unter anderem mit einem datenbankbasierten Phishing-Schutz auf, der Nutzer in Echtzeit vor betrügerischen Webseiten schützen soll.
Und auch bei www.heise.de klang es harmlos:
Neben diversen Bugfixes enthält Opera 9.10 einen überarbeiteten Phishing-Schutz. Ist dieser aktiviert, sendet er die URLs der besuchten Sites an einen Opera-Server, der sie mit einer Datenbank von bekannten Phishing-Sites abgleicht. Ist die Site dort verzeichnet, blockiert Opera den Zugriff.
Allerdings hat offenbar Opera auch stillschweigend zwei durchaus heikle Fehler behoben (siehe auch www.golem.de[2]:
Wie erst jetzt bekannt wurde, korrigiert der aktuelle Browser zwei Sicherheitslücken. Beide Sicherheitslecks können von Angreifern zum Ausführen von Programmcode missbraucht werden. Während das eine Sicherheitsloch bei der Anzeige von jpeg-Bildern zuschlägt, tritt das andere bei der Darstellung von SVG-Daten auf.
Eine detailliertere Darstellung der Fehler findet sich unter www.heise.de[2], während leider im Changelog unter www.opera.com[2] (englisch) bis heute kein Hinweis auf die beiden durchaus kritischen Fehler zu finden ist.
Wer also Opera noch nicht aktualisiert hat, sollte dies zeitnah tun. Und es lohnt sich offenbar, den Browser regelmäßig nach Updates suchen zu lassen. Dies ist scheinbar auch deshalb nötig, da sich dies nicht automatisieren läßt – oder habe ich einfach die entsprechende Option nicht gefunden?
Vor einigen Tagen wurde nun die Version 2.0.5 der weitverbreiteten Blog-Software WordPress veröffentlicht, wie im offiziellen Blog unter wordpress.org zu lesen ist:
The latest in our venerable 2.0 series, which now counts over 1.2 million downloads, is available for download immediately, and we suggest everyone upgrade as this includes security fixes.[…]
What’s new? We have about 50 or so bugfixes, which you can review on our dev tracker here, mostly minor bug fixes around feeds, custom fields, and internationalization.
Die offizielle Liste enthält 56 behobene Fehler und ist unter trac.wordpress.org (englisch) abrufbar. Die aktuelle englischsprachige Fassung kann man unter wordpress.de herunterladen.
Und auch für Nutzer der (deutschsprachigen) WordPress.de-Edition wird es wohl nicht mehr lange dauern (siehe auch blog.wordpress-deutschland.org):
Weitere Infos und die DE-Edition werden wir so schnell wie möglich nachreichen.
Wie bisher werde ich die aktuelle DE-Edition abwarten, um dann zu aktualisieren. Wer es eilig hat, findet aber z.B. bei Robert unter www.basicthinking.de/blog eine Schnellanleitung für das empfehlenswerte Update.
(u.a. via www.heise.de, www.golem.de)
Update 02.11.06, 16:37 Uhr:
Nun gibt es auch die DE-Edition von WordPress in der Version 2.0.5 (siehe auch blog.wordpress-deutschland.org[2]):
Und das Update hat hier im Blog (bisher) auch ohne Probleme geklappt 🙄
Was an dem „guten alten“ Stimmzettel falsch sein soll, erschließt sich mir bis heute nicht. Wenn man auch nur der geringste Zweifel am Ergebnis einer Wahl hat, geht man in den Keller, holt die Stimmzettel und zählt einfach nochmal. Und selbst bei den „Lochkarten“ in Florida, die 2000 bei den US-Präsidentschaftswahlen für spannende Momente sorgten (siehe auch www.wahlrecht.de), bestand zumindest eine gewiße Chance, das Stimmverhalten nachträglich zu prüfen.
Seit einiger Zeit verfolge ich daher mit wachsender Sorge die aktuelle Entwicklung in Sachen „Wahlcomputer“ (eine lesenswerte Zusammenfassung findet sich übrigens bei DonDahlmann unter don.antville.org). Und auch die vom Chaos Computer Club vorgelegte, vernichtende Analyse der Wahlcomputer der Firma Nedap (siehe auch www.ccc.de) trug nicht zu meiner Beruhigung bei.
Insofern kann ich nur sehr nachdrücklich an alle Leser appellieren, sich an der aktuell stattfinden Petition zur „ersatzlose Streichung des § 35 Bundeswahlgesetz (Stimmabgabe mit Wählgeräten)“ zu beteiligen – wenn euch euer Stimmrecht lieb ist:
Online-Petition: itc.napier.ac.uk
Und ja: Es handelt sich um die offizielle „Adresse“ des Petitionsausschusses des Deutschen Bundestages… 😕
Der Chaos Computer Club bring es abschließend unter www.ccc.de[2] auf den Punkt:
Die faktische Nichtüberprüfbarkeit der Auszählung einer Computerwahl durch den Bürger verletzt die fundamentalen Grundsätze der Demokratie in Deutschland und muss daher unterbunden werden. Einzig eine Wahl mit Zettel und Stift kann von normalen Bürgern mit einfachen Mitteln überprüft werden. Die DDR-Oppositionsbewegung hat dies im Mai 1989 eindrucksvoll bewiesen.
In den letzten 24 Stunden sind übrigens mehr als 2.000 neue Unterzeichner hinzugekommen (aktueller Stand 12:29 Uhr: 3.015 Personen), aber auch dort gilt: Jede Stimme zählt!
(u.a. via www.golem.de, www.golem.de[2])