Kritische Sicherheitslücken in WordPress

Die WordPress-Entwickler sprechen von einem sehr wichtigen Update, das alle Nutzer einspielen sollten. Es beseitigt neben den Sicherheitsfehlern auch einige wenige andere Probleme. So funktionieren die HTML-Quicktags nun auch in Safari und Kommentare werden gefiltert, so dass sie ein Blog-Layout nicht mehr zerstören können. Zudem wurde die Kompatibilität mit PHP/FastCGI-Setups verbessert.

Für Entwickler steht nun eine neue Anti-XSS-Funktion namens attribute_escape() bereit und ein neuer Filter namens "Query" erlaubt es, jede SQL-Anweisung während der Laufzeit zu filtern.

Neues aus der Golem Karrierewelt (öffnet im neuen Fenster)

Workshops und Weiterbildungen: Bessere C++-Codequalität mit modernen Clean-Code-Prinzipien

zum Artikel

Karriere Ratgeber: Microsoft Cloud verwalten auf höchstem Niveau

zum Ratgeber

Seminar: STACKIT Cloud – Strategien, Souveränität, Technologie: virtueller Ein-Tages-Workshop

zum Kurs

E-Learning: Microsoft Excel: vom Einsteiger zum Profi (E-Learning)

zum Kurs

Darüber hinaus wurden zwei Sicherheitslücken geschlossen, auf die Stefan Esser in den Advisorys "WordPress Trackback Charset Decoding SQL Injection Vulnerability(öffnet im neuen Fenster)" und "WordPress CSRF Protection XSS Vulnerability(öffnet im neuen Fenster)" hinweist. In einem Fall lassen sich ggf. über das Umgehen des XSS-Schutzes von WordPress Administratorrechte erlangen, im anderen Fall wird der in WordPress integrierte Schutz von SQL-Injections umgangen.

Die korrigierte Version 2.0.6 von WordPress(öffnet im neuen Fenster) steht unter wordpress.org/download(öffnet im neuen Fenster) zum Download bereit. In Kürze soll mit WordPress 2.1 ein neues "Feature Release" folgen, derzeit läuft der Beta-Test.

• Anzeige Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon Affiliate-Hinweis
  Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.