WordPress hat mit Version 4.1.2 ein kritisches Sicherheitupdate für sein Content-Management-System veröffentlicht. Es empfiehlt dringend, alle früheren Versionen sofort auf den aktuellen Stand zu bringen – durch einen Download oder aus dem Dashboard heraus. Bei Sites, die automatische Updates im Hintergrund unterstützen, laufe die Aktualisierung auf WordPress 4.1.2 bereits an.
Die Versionen 4.1.1 und frühere Versionen sind von einer kritischen Cross-Site-Scripting-Lücke betroffen, die es anonymen Nutzern erlauben könnte, eine Website zu kompromittieren. Die von Cedric Van Bockhaven berichtete Schwachstelle wurde durch das WordPress-Sicherheitsteam behoben.
Das Update beseitigt zudem drei weitere Anfälligkeiten. So konnten in WordPress 4.1 und höher Dateien mit ungültigen oder unsicheren Namen hochgeladen werden. In WordPress 3.9 und höher ließ sich eine sehr eingeschränkte Cross-Site-Scripting-Lücke im Rahmen eines Social-Engineering-Angriffs ausnutzen. Einige Plug-ins waren anfällig für SQL-Injection.
Darüber hinaus wurden vier Veränderungen vorgenommen, um Installationen zu härten. WordPress bedankt sich ausdrücklich für die verantwortliche Enthüllung der Schwachstellen an sein Sicherheitsteam. Es weist außerdem Tester von WordPress 4.2 darauf hin, dass der dritte Release Candidate erhältlich ist und auch hier die genannten Sicherheitslücken behoben wurden.
Abschließende Erwähnung findet eine in zahlreichen WordPress-Plug-ins entdeckte Anfälligkeit für Cross-Site-Scripting (XSS), für die in dieser Woche in einer konzertierten Aktion Sicherheitsupdates bereitgestellt wurden. Nicht weniger als 17 betroffene Plug-ins sind bislang bekannt, aber mit weiteren Entdeckungen ist noch immer zu rechnen. Die Anfälligkeit beruht auf dem falschen Einsatz der Funktionen add_query_arg() and remove_query_arg(), die zuvor in der offiziellen WordPress-Dokumentation unklar beschrieben wurden.
„Halten Sie alles auf dem aktuellen Stand, um sicher zu sein“, wendet sich Gary Pendergast von Automattic, das das Hosting-Angebot WordPress.com betreibt und wesentlich zur Entwicklung des quelloffenen Content-Management-Systems WordPress beiträgt, an die Anwender. Plug-in-Entwickler verweist er auf eine Informationsseite, mit deren Hilfe sie klären können, ob eventuell auch ihr Plug-in von der XSS-Lücke betroffen ist.
Tipp: Wie gut kennen Sie die Geschichte der Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Neueste Kommentare
Noch keine Kommentare zu Sicherheitsupdate für WordPress verfügbar
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.