Gestern Abend  wurde die neue Version 2.6.2 von Wordpress veröffentlicht. Diese behebt neben ein paar kleinen Bugs  zwei kritische Fehler, welcher durch den PHP-Sicherheitspezialisten Stefan Esser aufgedeckt wurde:

  • Bei einer offenen Benutzerregistrierung führt eine sogenannte “ SQL Column Truncation ” dazu, dass der gewählte Benutzername ein existierender sein kann und deshalb dessen Passwort zurückgesetzt wird. Nur ärgerlich, da der Angreifer keinen Zugriff auf den Account erhält.
  • Ein Fehler in der PHP-Funktion mt_rand() führt dazu, dass das während der Registrierung erstellte Passwort vorhersagbar ist. Dies betrifft auch andere Webapplikationen und ist derzeit mittels des Sicherheitspatches “ Suhosin ” behebbar. Daher sind die Applikationen auf meinem Server nicht davon betroffen.

Das Update ist auf den englischsprachigen Seiten  ( Release-Blog-Eintrag )schon erschienen, die Version von Wordpress-Deutschland wird sicher auch bald erscheinen ist ebenfalls erschienen . Derweil kann man sich schon mal die Liste der geänderten Dateien  ansehen und bei Bedarf manuell Updaten.