Beiträge

WordPress Sicherheitsupdate 4.4.1 erschienen – XSS Lücke geschlossen

security

Soeben erschienen ist Version 4.4.1 von WordPress * – mit diesem Release wird eine Sicherheitslücke geschlossen, die es einem Angreifer ermöglicht per cross-site scripting die Seite zu kompromitieren.

Wordpress 4.4.1

Die Release Notes  listen 52 behobene Fehler auf, unter anderem wurden auch die Emojis auf den neuesten Stand gebracht (so wirst du sie wieder los 🙂 ) und Probleme in Hinblick auf alte Versionen von OpenSSL und Plugins behoben.

Bitte aktualisiert eure Installation im Backend, die Auto Updates werden derzeit ausgerollt.

*betroffen sind auch ältere Versionen von WordPress, auch hier stehen Updates zur Verfügung!

WordPress 4.1.5 und 4.2.2 sind erschienen

wordpress

Soeben wurden neue Updates für WordPress veröffentlicht, es handelt sich um die Versionen 4.1.5 und 4.2.2.

Das Update 4.1.5 schließt die XSS Lücke bezüglich des Genericons Paketes, außerdem wird ein Fix für die XSS Anfälligkeit verbessert welcher in Version 4.1.4 ausgerollt wurde. Desweiteren werden noch 3 Fehler aus 4.1.4 geschlossen. Alles über die Version findet ihr in der Versions Info

Das Update 4.2.2 schließt ebenso die Genericons Lücke sowie 13 Fehler aus 4.2.1 – komplette Infos auch hier in der Versions Info.
Offenbar wurde in der 4.2.2 auch das Problem der Plugin Updates behoben, diese ließen sich teilweise unter 4.2 nicht mehr updaten. Dazu findet man im Changelog allerdings keinen Hinweis.

Bei beiden Updates findet sich auch diese Info:

The release also includes hardening for a potential cross-site scripting vulnerability when using the Visual editor.

Heißt für mich, es gibt ein weiteres Problem, welches vermutlich bisher noch nicht publiziert wurde.

Bitte beachtet, dass die Genericons Lücke nur dann geschlossen wird, wenn das Update über die ‚Aktualisieren‘ Funktion eingespielt wird, hierbei wird die example.html Datei dann entfernt. Wenn ich die Dateien manuell – per FTP oder SVN – einspielt, dann müsst ihr die example.html manuell entfernen, ansonsten wird das Problem nicht behoben!

Wenn ihr Autoupdate aktiviert habt, dann werden diese Updates bei eurem Blog in Kürze eingespielt sein.