Wordpress 2.8.6 schließt zwei Sicherheitslücken

Das Update beseitigt eine XSS-Schwachstelle. Zudem wurde ein Fehler behoben, der unter bestimmten Apache-Konfigurationen die Ausführung hochgeladener Dateien erlaubt. Beide Lecks können allerdings nicht ohne Anmeldung ausgenutzt werden.

Die Wordpress^[1]-Entwickler haben Version 2.8.6 ihrer Blogging-Software veröffentlicht. Das Update beseitigt zwei Sicherheitslecks, die sich jedoch nicht ohne Anmeldung ausnutzen lassen.

Bei der ersten Schwachstelle handelt es sich laut einer Sicherheitsmeldung^[2] um eine Cross-Site-Scripting-Lücke (XSS^[3]) in "Press This". Sie wurde von Benjamin Flesh entdeckt. Dawid Golunski hat auf einen zweiten Fehler^[4] hingewiesen, der es ermöglicht, unter bestimmten Apache-Konfigurationen hochgeladene Dateien wie "foto.php.jpg" als Code auszuführen. Auch diese Sicherheistlücke wurde mit dem Update geschlossen.

Wordpress 2.8.6 steht ab sofort zum kostenlosen Download^[5] bereit. Alle Anwender sollten die Aktualisierung schnellstmöglich installieren.

Download:

• Wordpress 2.8.6^[5]

URLs in diesem Artikel:
[1] = http://www.wordpress.org/
[2] = http://wordpress.org/development/2009/11/wordpress-2-8-6-security-release/
[3] = http://de.wikipedia.org/wiki/Cross-Site_Scripting
[4] = http://core.trac.wordpress.org/ticket/11122
[5] = http://www.zdnet.de/site_management_unter_windows_wordpress_download-39002345-76238-1.htm