Zwei kritische Fehler in der freien Blog-Software WordPress werden mit der neuen Version 2.0.6 beseitigt. Sicherheitsexperte Stefan Esser hatte auf zwei Fehler in der Software hingewiesen, durch die Dritte evtl. Administrationsrechte über ein entsprechendes Blog erlangen können.
Die WordPress-Entwickler sprechen von einem sehr wichtigen Update, das alle Nutzer einspielen sollten. Es beseitigt neben den Sicherheitsfehlern auch einige wenige andere Probleme. So funktionieren die HTML-Quicktags nun auch in Safari und Kommentare werden gefiltert, so dass sie ein Blog-Layout nicht mehr zerstören können. Zudem wurde die Kompatibilität mit PHP/FastCGI-Setups verbessert.
Für Entwickler steht nun eine neue Anti-XSS-Funktion namens
attribute_escape() bereit und ein neuer Filter namens "Query" erlaubt es, jede SQL-Anweisung während der Laufzeit zu filtern.
Darüber hinaus wurden zwei Sicherheitslücken geschlossen, auf die Stefan Esser in den Advisorys "
WordPress Trackback Charset Decoding SQL Injection Vulnerability" und "
WordPress CSRF Protection XSS Vulnerability" hinweist. In einem Fall lassen sich ggf. über das Umgehen des XSS-Schutzes von WordPress Administratorrechte erlangen, im anderen Fall wird der in WordPress integrierte Schutz von SQL-Injections umgangen.
Die korrigierte
Version 2.0.6 von WordPress steht unter
wordpress.org/download zum
Download bereit. In Kürze soll mit WordPress 2.1 ein neues "Feature"Release" folgen, derzeit läuft der Beta-Test.
(ji)
