Zum Hauptinhalt Zur Navigation
Abo testen Anmelden
Deals
Rack & StackSecurityWirtschaftEnergie & KlimaHardware

Kritische Sicherheitslücken in WordPress

Version 2.0.6 beseitigt einige Probleme der freien Blog-Software. Zwei kritische Fehler in der freien Blog-Software WordPress werden mit der neuen Version 2.0.6 beseitigt. Sicherheitsexperte Stefan Esser hatte auf zwei Fehler in der Software hingewiesen, durch die Dritte evtl. Administrationsrechte über ein entsprechendes Blog erlangen können.
/ Jens Ihlenfeld
Kommentare News folgen (öffnet im neuen Fenster)

Die WordPress-Entwickler sprechen von einem sehr wichtigen Update, das alle Nutzer einspielen sollten. Es beseitigt neben den Sicherheitsfehlern auch einige wenige andere Probleme. So funktionieren die HTML-Quicktags nun auch in Safari und Kommentare werden gefiltert, so dass sie ein Blog-Layout nicht mehr zerstören können. Zudem wurde die Kompatibilität mit PHP/FastCGI-Setups verbessert.

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)
Netzwerkadministrator*in (m/w/div) Deutsche Rentenversicherung Bund, Berlin (öffnet im neuen Fenster)
Senior Data Engineer / Senior Data Analytics Developer (m/w/d) SDX AG, Frankfurt (öffnet im neuen Fenster)
Servicemitarbeiter (m/w/d) im 1st & 2nd Level Help-Desk Acrelec GmbH, Unterschleißheim bei München (öffnet im neuen Fenster)
Elektroingenieur (m/w/d) Kommunikationstechnik BAADER, Lübeck (öffnet im neuen Fenster)
SAP Inhouse Berater PLM / Variantenkonfiguration (m/w/d) Max Weishaupt SE, Schwendi (öffnet im neuen Fenster)
Softwareentwickler Giro- und Passiv-Steuerung (m/w/d) Finanz Informatik GmbH & Co. KG, Frankfurt am Main,Hannover,Münster (öffnet im neuen Fenster)
Consultant (m/w/d) im Bereich Informationssicherheit / Cyber-Security BBH Consulting AG, München (öffnet im neuen Fenster)
Referent*in Organisationsentwicklung und Digitalisierung (d/m/w) Nahverkehrsverbund Schleswig-Holstein GmbH (NAH.SH GmbH), Kiel (öffnet im neuen Fenster)

Für Entwickler steht nun eine neue Anti-XSS-Funktion namens attribute_escape() bereit und ein neuer Filter namens "Query" erlaubt es, jede SQL-Anweisung während der Laufzeit zu filtern.

Darüber hinaus wurden zwei Sicherheitslücken geschlossen, auf die Stefan Esser in den Advisorys " WordPress Trackback Charset Decoding SQL Injection Vulnerability(öffnet im neuen Fenster) " und " WordPress CSRF Protection XSS Vulnerability(öffnet im neuen Fenster) " hinweist. In einem Fall lassen sich ggf. über das Umgehen des XSS-Schutzes von WordPress Administratorrechte erlangen, im anderen Fall wird der in WordPress integrierte Schutz von SQL-Injections umgangen.

Die korrigierte Version 2.0.6 von WordPress(öffnet im neuen Fenster) steht unter wordpress.org/download(öffnet im neuen Fenster) zum Download bereit. In Kürze soll mit WordPress 2.1 ein neues "Feature Release" folgen, derzeit läuft der Beta-Test.

Zur Startseite Kommentare

Relevante Themen

SoftwareUnternehmenssoftwareSecuritySicherheitslückeDatensicherheitSQLApplikationenStefan Esser