WordPress 2.6.2 ist erschienen – Kritisches Update

Gestern Abend wurde die neue Version 2.6.2 von WordPress veröffentlicht. Diese behebt neben ein paar kleinen Bugs zwei kritische Fehler, welcher durch den PHP-Sicherheitspezialisten Stefan Esser aufgedeckt wurde:

  • Bei einer offenen Benutzerregistrierung führt eine sogenannte „SQL Column Truncation“ dazu, dass der gewählte Benutzername ein existierender sein kann und deshalb dessen Passwort zurückgesetzt wird. Nur ärgerlich, da der Angreifer keinen Zugriff auf den Account erhält.
  • Ein Fehler in der PHP-Funktion mt_rand() führt dazu, dass das während der Registrierung erstellte Passwort vorhersagbar ist. Dies betrifft auch andere Webapplikationen und ist derzeit mittels des Sicherheitspatches „Suhosin“ behebbar. Daher sind die Applikationen auf meinem Server nicht davon betroffen.

Das Update ist auf den englischsprachigen Seiten (Release-Blog-Eintrag)schon erschienen, die Version von WordPress-Deutschland wird sicher auch bald erscheinen ist ebenfalls erschienen. Derweil kann man sich schon mal die Liste der geänderten Dateien ansehen und bei Bedarf manuell Updaten.

Veröffentlicht von

Uli

IT-Nerd und Admin

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.