Die WordPress-Entwickler haben Version 2.8.4 ihrer Blogging-Software veröffentlicht. Das Update schließt eine gestern entdeckte Sicherheitslücke, die es Angreifern erlaubt, mittels einer manipulierten URL eine Sicherheitsabfrage zu umgehen und das Account-Passwort zurückzusetzen.
Als Folge wird in der Regel das Passwort des Administrators gelöscht und ein neues Passwort an die E-Mail-Adresse des Account-Besitzers gesendet. Zwar ermöglicht die von Laurent Gaffie entdeckte Schwachstelle keine Schadcodeausführung, aber ein Blog-Administrator kann durch die unautorisierte Zurücksetzung des Passworts kurzzeitig von seinem Blog ausgesperrt werden.
Der Fehler betrifft alle WordPress-Versionen bis 2.8.3. WordPress 2.8.4 steht ab sofort zum kostenlosen Download bereit. Alle Anwender sollten das Update schnellstmöglich installieren.
Neueste Kommentare
1 Kommentar zu WordPress 2.8.4 schließt Sicherheitslücke
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.
WordPress 2.8.3 vs. 2.8.4
in der wp-login.php die Zeile
if ( empty( $key ) )
durch
if ( empty( $key ) || is_array( $key ) )
ersetzen! Das wars!