Beiträge

WordPress 4.1.5 und 4.2.2 sind erschienen

wordpress

Soeben wurden neue Updates für WordPress veröffentlicht, es handelt sich um die Versionen 4.1.5 und 4.2.2.

Das Update 4.1.5 schließt die XSS Lücke bezüglich des Genericons Paketes, außerdem wird ein Fix für die XSS Anfälligkeit verbessert welcher in Version 4.1.4 ausgerollt wurde. Desweiteren werden noch 3 Fehler aus 4.1.4 geschlossen. Alles über die Version findet ihr in der Versions Info

Das Update 4.2.2 schließt ebenso die Genericons Lücke sowie 13 Fehler aus 4.2.1 – komplette Infos auch hier in der Versions Info.
Offenbar wurde in der 4.2.2 auch das Problem der Plugin Updates behoben, diese ließen sich teilweise unter 4.2 nicht mehr updaten. Dazu findet man im Changelog allerdings keinen Hinweis.

Bei beiden Updates findet sich auch diese Info:

The release also includes hardening for a potential cross-site scripting vulnerability when using the Visual editor.

Heißt für mich, es gibt ein weiteres Problem, welches vermutlich bisher noch nicht publiziert wurde.

Bitte beachtet, dass die Genericons Lücke nur dann geschlossen wird, wenn das Update über die ‚Aktualisieren‘ Funktion eingespielt wird, hierbei wird die example.html Datei dann entfernt. Wenn ich die Dateien manuell – per FTP oder SVN – einspielt, dann müsst ihr die example.html manuell entfernen, ansonsten wird das Problem nicht behoben!

Wenn ihr Autoupdate aktiviert habt, dann werden diese Updates bei eurem Blog in Kürze eingespielt sein.

Sicherheit: WordPress 4.1.2 stopft Loch in allen WordPress Version

security

Schlag auf Schlag geht es weiter.

Gerade kommt die Mitteilung, dass ALLE WordPress Versionen eine XSS Verwundbarkeit haben.
Dadurch kann es anonymen Nutzern gelingen eine Seite zu kompromittieren.

Diese Lücke – sowie 3 weitere Lücken – werden mit dem WordPress 4.1.2 Security Release gepatcht.

Ihr solltet also DRINGEND alle euer Dashboard besuchen und ein Update von WordPress sowie euren Plugins vornehmen!