« zurück zur Startseite.
9.Juli, 2009

Sicherheitslücke in WordPress 2.8 und älteren Versionen

Im Artikel WordPress 2.8.1 Beta 1 haben wir schon davon berichtet, dass in WordPress 2.8.1 das Problem behoben wird, dass die Überprüfung von Benutzerrechten bei Pluginoptionen bisher nicht sicher ist.
Die Firma Core Security berichtet nun von dieser Sicherheitslücke (siehe auch heise-Meldung):
Angemeldete Benutzer könnten, obwohl sie nicht ausreichend Rechte besitzen, auf die Optionsseiten diverser Plugins zugreifen, da die entsprechende Funktion zur Überprüfung fehlerhaft ist.
Diese Sicherheitslücke ist in allen WordPress-Versionen einschließlich 2.8 enthalten.

Gegenmaßnahmen: Wenn nicht zwingend notwendig, sollte die Option “Jeder kann sich registrieren.” deaktiviert werden! Ist die Option bisher aktiv, sollte überprüft werden, welche Benutzer im Blog vorhanden sind und ob deren Mitgliedschaft notwendig ist.
Die Lücke wird zudem in WordPress 2.8.1 behoben werden.
Wir wissen noch nicht, wann WordPress 2.8.1 in finaler Version erscheinen soll, aber es wird sicherlich bald soweit sein, da die Version schon im Release Candidate-Status ist.
Update: WP 2.8.1 wurde so eben veröffentlicht. Die DE-Edition wird gerade fertiggestellt.


jottlieb

Dieser Beitrag wurde am 9. Juli 2009 um 19:18 von jottlieb in der Rubrik News abgelegt. Dieser Beitrag wurde 2853 mal aufgerufen. Neue Kommentare via RSS 2.0 RSS 2.0 - Trackback Trackback URI

10 Trackbacks

  1. WordPress 2.8.1 (inkl. Sprachdatei & DE-Edition) - Am späten Donnerstagabend haben die Entwickler von WordPress den Wartungs- und Sicherheitsrelease 281 freigegeben Neben der Schließung eines Sicherheitslochs wurden auch viele Bugs aus 28 behoben, am 9. Juli 2009
  2. WordPress 2.8.1 veröffentlicht » Beitrag » Dackworld am 10. Juli 2009
  3. Bücherwurms Blog-Welt » Update auf WordPress 2.8.1 am 10. Juli 2009
  4. Content Management: WordPress 2.8.1 erschienen, Sicherheitsloch geschlossen » t3n Magazin am 10. Juli 2009
  5. WordPress 2.8.1 veröffentlicht » dath.info am 10. Juli 2009
  6. Update auf WordPress 2.8.1 - WordPress, Bugs, Plugins, Dateien, Probleme, Internet - Rene` & Steffis Blog am 10. Juli 2009
  7. WordPress MU 2.8.1 - WordPress MU 281 ist nun verfügbar, Ein Update ist somit dringend empfohlen, In beiden Fällen gilt vorher ein vollständiges Backup der Datenbank und Dateien erstellen, Download von WordPress MU 281 und der deutschen Sprachdatei, Wo am 10. Juli 2009
  8. DerAdler im Netz am 11. Juli 2009
  9. WordPress MU Tutorials - News & Artikel – WordPress MU 2.8.1 freigegeben am 11. Juli 2009
  10. Sicherheitslücke entdeckt und mit Version 2.8.3 behoben - Beitrag - Schweizer WordPress Magazin am 4. August 2009

7 Kommentare | Kommentar schreiben

  1. #1 Robert
    9. Juli 2009 um 20:42

    Die Lücken, die Core im Advisory aufzeigt, werden in WordPress 2.8.1 nicht vollständig behoben.

    Im Gegenteil: Mein Ticket im WordPress Trac inklusive Patch für die unter “8.7. Other Information Disclosures (CVE-2009-2335, CVE-2009-2336, BID 35584)” genannte Lücke wurde eben mit “wontfix” geschlossen.

  2. #2 Markus
    9. Juli 2009 um 22:29

    Inzwischen ist 2.8.1 erschienen.

  3. #3 rellek
    9. Juli 2009 um 22:34

    auto-update ohne probleme, danke dafür. (wie immer :) )

  4. #4 Markus
    9. Juli 2009 um 22:37

    ist dann aber noch nicht die de version im auto update?

  5. #5 rellek
    9. Juli 2009 um 22:45

    Keine Ahnung, bei Werkzeuge, Aktualisieren stand, es gäbe ne 2.8.1, was sich mit dem WP-Tweet deckte:
    http://twitter.com/wordpress/status/2556068945

    Und WP spricht noch deutsch… Daher habe ich mir keinen großen Kopf drum gemacht. Sollte ich?!

  6. #6 ocean90
    9. Juli 2009 um 22:46

    @Markus
    Nein, ist es nicht. Du kannst aber auch die englische updaten und dort dann die deutsche Sprachdatei via wp-config aktivieren.

  7. #7 Markus
    9. Juli 2009 um 23:17

    @ocean90 danke aber ich bleib bei der de version. ist ja nicht nur mit der sprachdatei getan, sind ja auch teile im core seler übersetzt. gibt es eigentlich eine liste was alles alles in der de version geändert ist?

    ich kenn natürlich die hier:

    → Installationsroutine übersetzt (inkl. Fehlermeldungen).
    → Standardttheme Kubrick (de) überarbeitet, eingebaut und aktiviert.
    → Eingebettete Deutsche Sprachdatei.
    → WordPress Dokumente sind übersetzt und verlinkt.
    → Der erste Artikel und der erste Kommentar sind übersetzt.
    → Deutschsprachige Bestätigungsmail nach der Einrichtung

    aber gibt es noch mehr änderungen oder ist das alles? Mit WordPress Dokumente sind die readmes und so gemeint oder?



Dein Kommentar »



« zurück zur Startseite.