Abo
  • Services:
Anzeige

Sicherheitsupdate: WordPress 2.6.2 veröffentlicht

Schwächen der Funktion mt_rand() gefährden auch andere PHP-Applikationen

Stefan Esser hat eine Sicherheitslücke in der Blogsoftware Wordpress entdeckt, die die Entwickler mit der neuen Version 2.6.2 schließen. Gefährdet sind in erster Linie Blogs, die eine offene Registrierung anbieten.

Der Sicherheitsexperte Stefan Esser wies die Wordpress-Entwickler auf zwei Probleme hin, eines im Zusammenhang mit SQL-Column-Truncation, das andere resultiert aus einer Schwäche der Funktion mt_rand(). Gemeinsam habe man die Probleme beseitigt und die Version 2.6.2 veröffentlicht, so die Wordpress-Entwickler.

Anzeige

Sie raten vor allem Blogbetreibern, die in ihrer Wordpress-Installation eine offene Registrierung erlauben, zum Update. Denn in Wordpress-Versionen bis einschließlich 2.6.1 ist es Angreifen möglich, einen Usernamen so zu wählen, dass ein anderer Account zurückgesetzt und das Passwort zufällig neu gesetzt wird. Auch wenn der Angreifer dadurch keinen Zugriff auf das neue Passwort erhält, könne dies sehr ärgerlich sein.

Problematisch wird dieser Angriff aber in Kombination mit Schwächen der Funktion mt_rand(), mit der das neue Passwort generiert wird. Das eigentlich zufällig gesetzte Passwort ist dadurch voraussagbar. Details dazu werde Stefan Esser in Kürze veröffentlichen, denn auch andere PHP-Applikationen dürften von dem Problem betroffen sein. Abhilfe schafft Essers PHP-Sicherheitspatch Suhosin.

Wordpress 2.6.2 beseitigt darüber hinaus einige weitere kleine Fehler und steht ab sofort unter wordpress.org zum Download bereit.


eye home zur Startseite


nexem.info - Der News-Blog / 15. Sep 2008

splash ;) / 10. Sep 2008

WordPress: 2.6.2 (Sicherheitsrelevant)

aptgetupdate.de / 09. Sep 2008

[Update] Worpdress 2.6.0 -> 2.6.2

Puhs Blog / 09. Sep 2008

WordPress 2.6.2 Update

Leben des wolf-u.li / 09. Sep 2008

Wordpress 2.6.2 ist erschienen - Kritisches Update



Anzeige

Stellenmarkt
  1. Schaeffler Technologies AG & Co. KG, Herzogenaurach
  2. flexis AG, Chemnitz
  3. Robert Bosch GmbH, Reutlingen, Dresden
  4. Baden-Württembergischer Genossenschaftsverband e.V., Stuttgart


Anzeige
Top-Angebote
  1. (u. a. Game of Thrones, Supernatural, The Big Bang Theory)
  2. (u. a. Blade Runner, Inception, Erlösung, Mad Max Fury Road, Creed, Legend of Zarzan)
  3. (u. a. Arrow, Pretty Little Liars, The Big Bang Theory, The 100)

Folgen Sie uns
       


  1. Fall Creators Update

    Microsoft will neues Windows 10 schneller verteilen

  2. Canon

    Riesiger Bildschirm soll DSLR und Tablet vereinen

  3. Wibotic Powerpad

    Induktions-Drohnenlandeplatz erhöht die Reichweite

  4. Mercedes-Benz Energy

    Elektroauto-Akkus werden zum riesigen Stromnetzspeicher

  5. Unternehmen

    1&1 Versatel bietet Gigabit für Frankfurt

  6. Microsoft

    Xbox One emuliert 13 Xbox-Klassiker

  7. DMT Bonding

    Telekom probiert 1 GBit/s ohne Glasfaser aus

  8. Telekom-Software

    Cisco kauft Broadsoft für knapp 2 Milliarden US-Dollar

  9. Pubg

    Die blaue Zone verursacht künftig viel mehr Schaden

  10. FSFE

    "War das Scheitern von Limux unsere Schuld?"



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
ZFS ausprobiert: Ein Dateisystem fürs Rechenzentrum im privaten Einsatz
ZFS ausprobiert
Ein Dateisystem fürs Rechenzentrum im privaten Einsatz
  1. Librem 5 Purism zeigt Funktionsprototyp für freies Linux-Smartphone
  2. Pipewire Fedora bekommt neues Multimedia-Framework
  3. Linux-Desktops Gnome 3.26 räumt die Systemeinstellungen auf

Verschlüsselung: Niemand hat die Absicht, TLS zu knacken
Verschlüsselung
Niemand hat die Absicht, TLS zu knacken
  1. RSA-Sicherheitslücke Infineon erzeugt Millionen unsicherer Krypto-Schlüssel
  2. TLS-Zertifikate Zertifizierungsstellen müssen CAA-Records prüfen
  3. Certificate Transparency Webanwendungen hacken, bevor sie installiert sind

Zotac Zbox PI225 im Test: Der Kreditkarten-Rechner
Zotac Zbox PI225 im Test
Der Kreditkarten-Rechner

  1. Re: Demnächst gebrauchte Ersatzteile bei Smart

    bobb | 08:36

  2. Re: Sind immer die selben Probleme

    Niaxa | 08:35

  3. Re: Auf 9.3.5 (letzte IOS 9 Version) ist der...

    MonkeyKing | 08:33

  4. Re: Problem = Nutzer

    AngryFrog | 08:28

  5. Re: Apple wird immer peinlicher

    david_rieger | 08:27


  1. 08:23

  2. 07:34

  3. 07:22

  4. 07:11

  5. 18:46

  6. 17:54

  7. 17:38

  8. 16:38


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel