24.Oktober, 2008

WordPress 2.6.3 Sicherheitsrelease

Eben kam die Meldung, dass es eine neues Sicherheitsrelease für WordPress gibt. Geändert wurden 2 Dateien:

• wp-includes/class-snoopy.php
• wp-includes/version.php

Die Sicherheitslücke wurde in der Bibliothek Snoopy gefunden. Diese Library wird im Bereich des Dashboard genutzt um externe Inhalte zu nutzen.

Ein Update wird dringend empfohlen, da die Sicherheitslücke Zugriffe auf den RootServer zulässt.

Die geänderte deutschsprachige Version, sowie ein Upgradepaket kann hier heruntergeladen werden:

→ Download WordPress 2.6.3 DE-Edition
→ Upgradepaket für 2.6.2 auf 2.6.3

Die offizielle englischsprachige Version 2.6.3 kann im Downloadbereich runtergeladen werden.

Nachtrag:
Ein weiteres schwerwiegendes Sicherheitsleck ist aufgetaucht und wurde soeben gefixt. Der Fehler wurde bereits in das oben verlinkte Upgradepaket und die DE-Edition integriert. Siehe Sicherheitsproblem mit dem default-Theme für weitere Informationen.

Dieser Beitrag wurde am 24. Oktober 2008 um 00:37 von Robert in der Rubrik News abgelegt. Dieser Beitrag wurde 2910 mal aufgerufen. Neue Kommentare via RSS 2.0 - Trackback URI

68 Trackbacks

1. julian-stoick.de» Blogarchiv » Wordpress Sicherheitsupdate auf Version 2.6.3 am 26. Oktober 2008
   
2. Mein WordPress Testblog » Upgrade auf WordPress Version 2.6.3 am 26. Oktober 2008
   
3. Wordpress 2.6.3 | im-Tal.net am 26. Oktober 2008
   
4. dinofuss.de » Blog Archive » WordPress 2.6.3 behebt Sicherheitslücken am 26. Oktober 2008
   
5. Neues von Wordpress | Björn Oppermann ’s Privater Blog - Webtechnik - Server - Linux - PHP - MySql - AJAX - Javascript am 26. Oktober 2008
   
6. welt-held.de » Blog Archive » Diesmal! am 27. Oktober 2008
   
7. Wordpress 2.6.3 - Korrektur in Snoopy am 27. Oktober 2008
   
8. BRANDT.aktuell » Blog Archive » Wordpress-Update hat´s wohl nicht gebracht am 30. Oktober 2008
   
9. Gruening.me » Blog Archive » WordPress 2.6.3 Sicherheitsrelease am 29. Oktober 2008
   
10. Zwei kritische Sicherheitslücken in Wordpress 2.6.3 behoben | Konstantin Filtschew WebLog am 29. Oktober 2008
    
11. Paul Gossen am 5. November 2008
    
12. Weblog von Hartmut und Marcella » Wordpress 2.6.3 » Wordpress-Version, Deutschland, Wordpress, Weitere, Infos, Wordpress-Blog, Upgrade-Paket, Datenbank am 24. Oktober 2008
    
13. Neues von Wordpress | Björn Oppermann ’s Privater Blog - Webtechnik - Server - Linux - PHP - MySql - AJAX - Javascript am 24. Oktober 2008
    
14. Wordpress 2.6.3 | thonk am 24. Oktober 2008
    
15. Der Blogbeutel am 24. Oktober 2008
    
16. // TBDTTT » Wordpress 2.6.3 | Sicherheitsupdate am 24. Oktober 2008
    
17. Wordpress 2.6.3 ist da | news.SG - Your News for the Scene am 24. Oktober 2008
    
18. Nagelsbaum.de » Sicherheitsupdate auf Wordpress 2.6.3 am 24. Oktober 2008
    
19. Update auf Wordpress 2.6.3 » Beitrag » Daily Tim am 24. Oktober 2008
    
20. hype.yeebase.com am 24. Oktober 2008
    
21. Wordpress Sicherheitsupdate 2.6.3 — filzo.de am 24. Oktober 2008
    
22. Wordpress - Sicherheitslücke entdeckt und schon geschlossen | Reizzentrum am 24. Oktober 2008
    
23. Caschys Blog am 24. Oktober 2008
    
24. Links der Woche - MacBook Air gewinnen, Abmahnfallen für Blogger, Internet Marketing Handbuch und mehr » News, Tipps » Selbständig im Netz am 24. Oktober 2008
    
25. Wordpress-Update | bernd-distler.net am 24. Oktober 2008
    
26. Dringendes Wordpress Sicherheitsupdate auf 2.6.3 im Leben des wolf-u.li am 24. Oktober 2008
    
27. Wordpresshosting » Blog Archive » Wichtiges Miniupdate auf Wordpress 2.6.3 am 24. Oktober 2008
    
28. Alexander Wachert bloggt » Wordpress Update auf Version 2.6.3 am 24. Oktober 2008
    
29. WordPress 2.6.3 : fob marketing am 24. Oktober 2008
    
30. Der kleine Wochenrückblick KW43 auf trilodge computin blog am 24. Oktober 2008
    
31. Visualtainment - Sicherheitsrelease für WordPress - WordPress am 24. Oktober 2008
    
32. CyStats- und Wordpressupdate! » .wired am 24. Oktober 2008
    
33. WE ARE ROOT :: be admin or die tryin' am 24. Oktober 2008
    
34. Update auf Wordpress 2.6.3 am 24. Oktober 2008
    
35. Basic Thinking Blog | Wordpress: Wegen Sicherheitslücke auf 2.6.3 updaten! am 24. Oktober 2008
    
36. Wordpress 2.6.3 Sicherheitsupdate » Gif-Grafiken.de am 24. Oktober 2008
    
37. Sicherheitsupdate: Wordpress Version 2.6.3 at rack::SPEED Blog am 24. Oktober 2008
    
38. Tobbis Blog » WordPress veröffentlicht Version 2.6.3 am 24. Oktober 2008
    
39. kollitsch.net » Wordpress-Sicherheitsupdate am 24. Oktober 2008
    
40. trinidub » Sicherheitsupdate Wordpress 2.6.3 am 24. Oktober 2008
    
41. Wordpress 2.6.3 | XOON.EU/WEBMASTER am 24. Oktober 2008
    
42. mein gott und meine welt » Blog Archive » Snoopy?! WordPress?! Wuff?! am 24. Oktober 2008
    
43. Sicherheitsrelease: WordPress 2.3.6 | neontrauma.de | Tutorials & Webdesign am 24. Oktober 2008
    
44. WordPress 2.6.3 - Für die Sicherheit | DimidoBlog am 24. Oktober 2008
    
45. Dampfmaschine » Blog Archive » Wordpress-Sicherheitsupdate 2.6.3 veröffentlicht am 24. Oktober 2008
    
46. WordPress 2.6.3 Sicherheitsrelease | SEO, Affiliate und Marketing Blog - JKW-Media am 24. Oktober 2008
    
47. Wichtig: WordPress Update auf 2.6.3 » Blogwiese am 24. Oktober 2008
    
48. Hugelgupf am 24. Oktober 2008
    
49. BlogFrosch am 24. Oktober 2008
    
50. Wordpress - Notizblog » WP 2.6.3 am 24. Oktober 2008
    
51. Wordpress-Update : Jörn Schaars feine Seite am 24. Oktober 2008
    
52. Wordpress 2.6.3 » dath.info am 24. Oktober 2008
    
53. Wordpress 2.6.3 Sicherheitsupdate - NETZ-ONLINE am 24. Oktober 2008
    
54. Wordpress 2.6.3 | Der Anti-Hype am 24. Oktober 2008
    
55. erst Fitness dann WP-Update 2.6.3 | USmith Blog am 24. Oktober 2008
    
56. Wordpress Sicherheitsupdate released » Blog Archive » Dimension 2k am 24. Oktober 2008
    
57. Maexchen1 » » WordPress Update 2.6.3 am 24. Oktober 2008
    
58. Wordpress 2.6.3 Upgrade - By Ralf Berger - 2.6.3, Amp, Dashboard, Deutschland, Ein, Security, Snoopy, Upgrade, Wordpress, Wp - hochwald.net am 25. Oktober 2008
    
59. WordPress 2.6.3 » Helmuts Weblog am 25. Oktober 2008
    
60. WordPress 2.6.3 Sicherheitsrelease und Sicherheitsproblem mit dem default-Theme « Urgixgax Blog am 25. Oktober 2008
    
61. Sicherheitsrelease Wordpress 2.6.3 am 25. Oktober 2008
    
62. TYP03-Agentur Berlin: undkonsorten: » WordPress: Drei böse Sicherheitslücken!: CMS, Sicherheitslücke, Update, WordPress am 25. Oktober 2008
    
63. handke-online.net » Blog Archiv » Update auf WordPress 2.6.3 am 25. Oktober 2008
    
64. 3 Sicherheitslücken gefixt (Wordpress 2.6.3) | Webmaster, Security und Technik Blog am 25. Oktober 2008
    
65. Blog des IT-Service Burggraf » Wordpress 2.6.2 - Sicherheitslücke am 25. Oktober 2008
    
66. onurb.net » Blog Archive » Sicherheitsupdates eingespielt am 25. Oktober 2008
    
67. Wordpress Sicherheitsupdate/-fix 2.6.5 veröffentlicht | Adrian Sauer am 26. November 2008
    
68. WordPress 2.6.3 Sicherheitsrelease » Beitrag » myWordPress.de am 27. Juni 2009
    

22 Kommentare | Kommentar schreiben

1. #1 Deutschflüsterer
   24. Oktober 2008 um 08:15

   Hallo zusammen,

   unabhängig davon, dass mir Sicherheit sehr wichtig ist, aber macht es Sinn, sich noch vor Erscheinen der Version 2.7 dieses Update anzutun?

   lG
   Lutz

2. #2 A.Wachert
   24. Oktober 2008 um 08:17

   Alleine wegen der Tatsache das ggf. Zugriff auf den root des Servers möglich werden soll, JA.

3. #3 Dennis
   24. Oktober 2008 um 08:18

   Ja, lieber Deutschflüsterer, den zwar wurden nur zwei Dateien geupdatet, jedoch kann diese Sicherheitslücke massive Probleme auslösen. Ein Angreifer kann einfach Befehle auf deinem Server ausführen (Z.b. Alles löschen, Manipulieren usw.). Das Update geht sehr schnell, diese fünf Minuten sollte man sich schon nehmen.

   Gruß Dennis

4. #4 Peter Müller
   24. Oktober 2008 um 09:17

   Kann es sein, dass das Komplett-ZIP für 2.6.3 DE die 2.6.2 enthält? class-snoopy.php ist vom 14.6.2008 und version.php vom 8.9.2008.

   Im Update-ZIP sind aktuelle Dateien enthalten.

5. #5 Dennis
   24. Oktober 2008 um 09:24

   @Peter Erwischt, nein wir haben nur einfach 2.6.2 genommen und die beiden Dateien ausgetauscht. Jedoch hab ich woll in der Eile nicht alle Versionsnummer ausgetauscht. Aber unsere DE-Version enthält schon das Update.

   Gruß Dennis

   Update: Die Versionsnummer sind nun überall ausgetauscht. Eine lange war das gestern. ;)

6. #6 satyasingh
   24. Oktober 2008 um 10:43

   reichts da nicht, einfach nur die zwei dateien auszutauschen, statt ein volles updaten zu fahren?

7. #7 Dennis
   24. Oktober 2008 um 11:01

   @satyasingh Es reicht einfach das Upgradepaket zu holen (dort sind beide Dateien drin).

8. #8 Martin
   24. Oktober 2008 um 11:17

   Ich habe ein WPµ am laufen, welches auch einen Update-Wunsch äußert. Kann ich dort auch einfach so diese zwei Dateien aktualisieren oder gibt es für WPµ ein extra Update?

9. #9 Tocki
   24. Oktober 2008 um 11:23

   Hi.
   Das ist dann also mein erstes Update. Muss ich irgendwas deaktivieren, bevor ich die 2 Dateien per FTP ersetze, oder kann ich die einfach überschreiben?

   Ist vielleicht ne doofe Frage, aber…

10. #10 Dennis
    24. Oktober 2008 um 11:32

    @Martin, du kannst einfach die class-snoopy.php austauschen. Das reicht vorerst. Sobald WPMU 2.6.3 kommt, schreibe ich auch was dazu (Dort werden einige Bugs behoben).

    @Tocki, du kannst einfach die Dateien überschreiben. Jedoch mache vorher ein Backup der Datenbank und der Files. Sicher ist sicher.

11. #11 Tocki
    24. Oktober 2008 um 11:40

    Danke Dennis!

12. #12 Deutschflüsterer
    24. Oktober 2008 um 14:29

    Hallo zusammen,

    ok, drin der Fisch ;-)
    Ihr seid in der Überzahl und ich beuge mich der Vernunft.

    lG
    Lutz

13. #13 G1Blog
    24. Oktober 2008 um 15:12

    Huuii….
    Vielen Dank für das Update…
    5 min * X = Viel Zeit für den heutigen Updatetag einplanen ;)

14. #14 felix
    24. Oktober 2008 um 17:11

    Ich liebe es jeden Monat einmal zu updaten. Dann weiß ich immer, dass es sich gelohnt hat, heute morgen aufzustehen! :D

15. #15 bodybuilding
    24. Oktober 2008 um 17:23

    danke für das update. Sicherheit ist mehr als wichtig, das wissen wir sicher alle. die paar sekunden die dieses update erfordert. kein thema

16. #16 Lennart
    25. Oktober 2008 um 09:26

    Hallo Dennis,
    ich habe eine Frage:
    Hätte das Update irgendwelche Folgen, wenn ich erst 2.6.1 drauf hätte und dann direkt mit diesem Release auf 2.6.3 update?
    Oder sollt ich erst auf 2.6.2 updaten und dann das Sicherheitsrelease einspielen?
    Schon mal vielen Dank auch an andere, die die Antwort wissen!
    CIao Lennart

17. #17 Dennis
    25. Oktober 2008 um 09:52

    Hey Lennart, dann sollst du, wenn die Upgradepakete nutzen willst, es so machen, dass erst auf 2.6.2 und dann auf 2.6.3.
    – Hier der Link für das Upgradepaket 2.6.1 -> 2.6.2

    Gruß Dennis

18. #18 Lennart
    25. Oktober 2008 um 10:12

    Vielen Dank für die schnelle Hilfe, hat tadellos geklappt!

19. #19 Dr. Michael Cvachovec
    25. Oktober 2008 um 21:23

    Na das war ja mal ein völlig problemloses Update! ;-)

    Weiter so …

20. #20 Sebastian
    26. Oktober 2008 um 09:16

    Update durchgeführt – hat alles ohne Probleme geklappt.

21. #21 Eol Ruin
    27. Oktober 2008 um 19:39

    Danke für den Upgrade.

22. #22 Renate
    20. Februar 2009 um 15:19

    Ich hatte auf meinem neuen Blog seit gestern einen unerwünschten Link auf meiner Blogroll. Er ließ sich nicht löschen, das heißt, er ließ sich schon löschen, tauchte aber sofort danach wieder auf.

    Da ich von html überhaupt keine Ahnung habe, habe ich das Problem bei der Wordpress-Gruppe in XING gepostet und dort wurde mir schnell geholfen.

    https://www.xing.com/app/forum?op=showarticles;wsa=28616060.946c76;articleid=18598746;id=18584241#18598746

Dein Kommentar »