Sicherheitsupdate für WordPress verfügbar

WordPress empfiehlt dringend, sofort alle früheren Versionen des Content-Management-Systems auf das Release 4.1.2 zu aktualisieren. Frühere Versionen sind von einer kritischen Cross-Site-Scripting-Lücke betroffen. Das Update beseitigt außerdem drei weitere Anfälligkeiten.

WordPress hat mit Version 4.1.2 ein kritisches Sicherheitupdate für sein Content-Management-System veröffentlicht. Es empfiehlt dringend, alle früheren Versionen sofort auf den aktuellen Stand zu bringen – durch einen Download oder aus dem Dashboard heraus. Bei Sites, die automatische Updates im Hintergrund unterstützen, laufe die Aktualisierung auf WordPress 4.1.2 bereits an.

WordPress-Logo (Bild: WordPress)Die Versionen 4.1.1 und frühere Versionen sind von einer kritischen Cross-Site-Scripting-Lücke betroffen, die es anonymen Nutzern erlauben könnte, eine Website zu kompromittieren. Die von Cedric Van Bockhaven berichtete Schwachstelle wurde durch das WordPress-Sicherheitsteam behoben.

Das Update beseitigt zudem drei weitere Anfälligkeiten. So konnten in WordPress 4.1 und höher Dateien mit ungültigen oder unsicheren Namen hochgeladen werden. In WordPress 3.9 und höher ließ sich eine sehr eingeschränkte Cross-Site-Scripting-Lücke im Rahmen eines Social-Engineering-Angriffs ausnutzen. Einige Plug-ins waren anfällig für SQL-Injection.

Darüber hinaus wurden vier Veränderungen vorgenommen, um Installationen zu härten. WordPress bedankt sich ausdrücklich für die verantwortliche Enthüllung der Schwachstellen an sein Sicherheitsteam. Es weist außerdem Tester von WordPress 4.2 darauf hin, dass der dritte Release Candidate erhältlich ist und auch hier die genannten Sicherheitslücken behoben wurden.

Abschließende Erwähnung findet eine in zahlreichen WordPress-Plug-ins entdeckte Anfälligkeit für Cross-Site-Scripting (XSS), für die in dieser Woche in einer konzertierten Aktion Sicherheitsupdates bereitgestellt wurden. Nicht weniger als 17 betroffene Plug-ins sind bislang bekannt, aber mit weiteren Entdeckungen ist noch immer zu rechnen. Die Anfälligkeit beruht auf dem falschen Einsatz der Funktionen add_query_arg() and remove_query_arg(), die zuvor in der offiziellen WordPress-Dokumentation unklar beschrieben wurden.

„Halten Sie alles auf dem aktuellen Stand, um sicher zu sein“, wendet sich Gary Pendergast von Automattic, das das Hosting-Angebot WordPress.com betreibt und wesentlich zur Entwicklung des quelloffenen Content-Management-Systems WordPress beiträgt, an die Anwender. Plug-in-Entwickler verweist er auf eine Informationsseite, mit deren Hilfe sie klären können, ob eventuell auch ihr Plug-in von der XSS-Lücke betroffen ist.

Tipp: Wie gut kennen Sie die Geschichte der Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Themenseiten: Automattic, Secure-IT, Sicherheit, Software, WordPress

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Sicherheitsupdate für WordPress verfügbar

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *