Abo
  • Services:
Anzeige

Sicherheitsupdate: WordPress 2.6.2 veröffentlicht

Schwächen der Funktion mt_rand() gefährden auch andere PHP-Applikationen

Stefan Esser hat eine Sicherheitslücke in der Blogsoftware Wordpress entdeckt, die die Entwickler mit der neuen Version 2.6.2 schließen. Gefährdet sind in erster Linie Blogs, die eine offene Registrierung anbieten.

Der Sicherheitsexperte Stefan Esser wies die Wordpress-Entwickler auf zwei Probleme hin, eines im Zusammenhang mit SQL-Column-Truncation, das andere resultiert aus einer Schwäche der Funktion mt_rand(). Gemeinsam habe man die Probleme beseitigt und die Version 2.6.2 veröffentlicht, so die Wordpress-Entwickler.

Anzeige

Sie raten vor allem Blogbetreibern, die in ihrer Wordpress-Installation eine offene Registrierung erlauben, zum Update. Denn in Wordpress-Versionen bis einschließlich 2.6.1 ist es Angreifen möglich, einen Usernamen so zu wählen, dass ein anderer Account zurückgesetzt und das Passwort zufällig neu gesetzt wird. Auch wenn der Angreifer dadurch keinen Zugriff auf das neue Passwort erhält, könne dies sehr ärgerlich sein.

Problematisch wird dieser Angriff aber in Kombination mit Schwächen der Funktion mt_rand(), mit der das neue Passwort generiert wird. Das eigentlich zufällig gesetzte Passwort ist dadurch voraussagbar. Details dazu werde Stefan Esser in Kürze veröffentlichen, denn auch andere PHP-Applikationen dürften von dem Problem betroffen sein. Abhilfe schafft Essers PHP-Sicherheitspatch Suhosin.

Wordpress 2.6.2 beseitigt darüber hinaus einige weitere kleine Fehler und steht ab sofort unter wordpress.org zum Download bereit.


eye home zur Startseite


nexem.info - Der News-Blog / 15. Sep 2008

splash ;) / 10. Sep 2008

WordPress: 2.6.2 (Sicherheitsrelevant)

aptgetupdate.de / 09. Sep 2008

[Update] Worpdress 2.6.0 -> 2.6.2

Puhs Blog / 09. Sep 2008

WordPress 2.6.2 Update

Leben des wolf-u.li / 09. Sep 2008

Wordpress 2.6.2 ist erschienen - Kritisches Update



Anzeige

Stellenmarkt
  1. Schwarz Dienstleistung KG, Neckarsulm
  2. Bertrandt Services GmbH, Weil im Schönbuch bei Stuttgart
  3. Continental AG, Frankfurt
  4. ESCRYPT GmbH - Embedded Security, Bochum


Anzeige
Blu-ray-Angebote
  1. (u. a. Hobbit Trilogie Blu-ray 43,89€ und Batman Dark Knight Trilogy Blu-ray 17,99€)
  2. 24,99€ (Vorbesteller-Preisgarantie)
  3. 61,99€

Folgen Sie uns
       


  1. Auto

    Ferrari plant elektrischen Supersportwagen

  2. Faser-Wearables

    OLED als Garn für leuchtende Stoffe

  3. Square Enix

    PC-Version von Final Fantasy 15 braucht 155 GByte auf der HD

  4. Vertriebsmodell

    BMW und Mercedes wollen Auto-Abos anbieten

  5. LTE

    Taiwan schaltet nach 2G- auch 3G-Netz ab

  6. Two Point Hospital

    Sega stellt Quasi-Nachfolger zu Theme Hospital vor

  7. Callya

    Vodafones Prepaid-Tarife erhalten mehr Datenvolumen

  8. Skygofree

    Kaspersky findet mutmaßlichen Staatstrojaner

  9. World of Warcraft

    Schwierigkeitsgrad skaliert in ganz Azeroth

  10. Open Source

    Microsoft liefert Curl in Windows 10 aus



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Computerforschung: Quantencomputer aus Silizium werden realistisch
Computerforschung
Quantencomputer aus Silizium werden realistisch
  1. Tangle Lake Intel zeigt 49-Qubit-Chip
  2. Die Woche im Video Alles kaputt
  3. Q# und QDK Microsoft veröffentlicht Entwicklungskit für Quantenrechner

Netzsperren: Wie Katalonien die spanische Internetzensur austrickste
Netzsperren
Wie Katalonien die spanische Internetzensur austrickste

Spectre und Meltdown: All unsere moderne Technik ist kaputt
Spectre und Meltdown
All unsere moderne Technik ist kaputt
  1. Microsoft Fall Creators Update ist final für alle Geräte verfügbar
  2. BeA Noch mehr Sicherheitslücken im Anwaltspostfach
  3. VEP Charter Trump will etwas transparenter mit Sicherheitslücken umgehen

  1. Re: Gibt auch schon Hersteller unabhängige Vermietung

    uschatko | 08:20

  2. Re: Gute Touchscreenbedienung ist Knöpfen weit...

    CopyUndPaste | 08:20

  3. Re: Ich verstehe den Sinn dahinter nicht

    Dwalinn | 08:19

  4. Re: Tarif mit echtem Prepaid?

    robinx999 | 08:18

  5. Re: Im stationären Handel

    DieSchlange | 08:17


  1. 07:56

  2. 07:39

  3. 07:26

  4. 07:12

  5. 19:16

  6. 17:48

  7. 17:00

  8. 16:25


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel