WordPress 2.8.4 schließt Sicherheitslücke

Das Update verhindert die unautorisierte Zurücksetzung des Administratorpassworts. Dadurch konnten Nutzer kurzzeitig aus ihrem Blog ausgesperrt werden. Betroffen sind alle Wordpress-Versionen bis einschließlich 2.8.3.

Wordpress-Logo

Die WordPress-Entwickler haben Version 2.8.4 ihrer Blogging-Software veröffentlicht. Das Update schließt eine gestern entdeckte Sicherheitslücke, die es Angreifern erlaubt, mittels einer manipulierten URL eine Sicherheitsabfrage zu umgehen und das Account-Passwort zurückzusetzen.

Als Folge wird in der Regel das Passwort des Administrators gelöscht und ein neues Passwort an die E-Mail-Adresse des Account-Besitzers gesendet. Zwar ermöglicht die von Laurent Gaffie entdeckte Schwachstelle keine Schadcodeausführung, aber ein Blog-Administrator kann durch die unautorisierte Zurücksetzung des Passworts kurzzeitig von seinem Blog ausgesperrt werden.

Der Fehler betrifft alle WordPress-Versionen bis 2.8.3. WordPress 2.8.4 steht ab sofort zum kostenlosen Download bereit. Alle Anwender sollten das Update schnellstmöglich installieren.

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

1 Kommentar zu WordPress 2.8.4 schließt Sicherheitslücke

Kommentar hinzufügen
  • Am 13. August 2009 um 10:16 von Netzwelt Ag

    WordPress 2.8.3 vs. 2.8.4
    in der wp-login.php die Zeile

    if ( empty( $key ) )

    durch

    if ( empty( $key ) || is_array( $key ) )

    ersetzen! Das wars!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *