WordPress hat mit Version 4.1.2 ein kritisches Sicherheitupdate für sein Content-Management-System veröffentlicht. Es empfiehlt dringend, alle früheren Versionen sofort auf den aktuellen Stand zu bringen – durch einen Download oder aus dem Dashboard heraus. Bei Sites, die automatische Updates im Hintergrund unterstützen, laufe die Aktualisierung auf WordPress 4.1.2 bereits an.
Das Update beseitigt zudem drei weitere Anfälligkeiten. So konnten in WordPress 4.1 und höher Dateien mit ungültigen oder unsicheren Namen hochgeladen werden. In WordPress 3.9 und höher ließ sich eine sehr eingeschränkte Cross-Site-Scripting-Lücke im Rahmen eines Social-Engineering-Angriffs ausnutzen. Einige Plug-ins waren anfällig für SQL-Injection.
Darüber hinaus wurden vier Veränderungen vorgenommen, um Installationen zu härten. WordPress bedankt sich ausdrücklich für die verantwortliche Enthüllung der Schwachstellen an sein Sicherheitsteam. Es weist außerdem Tester von WordPress 4.2 darauf hin, dass der dritte Release Candidate erhältlich ist und auch hier die genannten Sicherheitslücken behoben wurden.
Abschließende Erwähnung findet eine in zahlreichen WordPress-Plug-ins entdeckte Anfälligkeit für Cross-Site-Scripting (XSS), für die in dieser Woche in einer konzertierten Aktion Sicherheitsupdates bereitgestellt wurden. Nicht weniger als 17 betroffene Plug-ins sind bislang bekannt, aber mit weiteren Entdeckungen ist noch immer zu rechnen. Die Anfälligkeit beruht auf dem falschen Einsatz der Funktionen add_query_arg() and remove_query_arg(), die zuvor in der offiziellen WordPress-Dokumentation unklar beschrieben wurden.
„Halten Sie alles auf dem aktuellen Stand, um sicher zu sein“, wendet sich Gary Pendergast von Automattic, das das Hosting-Angebot WordPress.com betreibt und wesentlich zur Entwicklung des quelloffenen Content-Management-Systems WordPress beiträgt, an die Anwender. Plug-in-Entwickler verweist er auf eine Informationsseite, mit deren Hilfe sie klären können, ob eventuell auch ihr Plug-in von der XSS-Lücke betroffen ist.
Tipp: Wie gut kennen Sie die Geschichte der Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…
Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…
Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…
Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…