Beiträge

security

Wie im Jetpack Blog zu lesen ist, wurde durch Sucuri eine kritische Lücke in Jetpack ab Version 2.0 gefunden. Die Lücke entsteht beim Verarbeiten von Shortcodes.

Derzeit gibt es keine Hinweise darauf, dass die Lücke ausgenutzt wird. Da der Fehler jetzt aber veröffentlicht wurde, kann das ggf. nicht lange dauern. Aus diesem Grund ist das sofortige Update auf Jetpack 4.0.3 – über das Dashboard oder Download – zu empfehlen.
Das Update wird auch über das Auto Update von WordPress verteilt – und schließt auch eine weitere Exploit Möglichkeit für euer Blog.

Update:

Viele Hintergründe und technische Informationen findet ihr im Sucuri Blog

wordpress

Wer in sein WP Dashboard schaut – wird dort die Nachricht finden, dass WordPress 4.5 erschienen ist.

Ab sofort kann man sich also auf die neue Version stürzen, diese ist nach dem Jazz Musiker xxxxx benannt.
Komischer Name, aber das Changelog will es so :)

Wer bitte?

Spaß beiseite – hat man wohl übersehen, wie noch ein paar mehr ‚x‘ im Text.

Geändert haben sie einige Funktionen, es gibt jetzt im Anpassen Dialog eine Funktion die Webseite in einer Desktop-, Tablet- oder Mobilansicht in der Vorschau zu sehen, das ist eine sehr sinnige Funktion, jeder sollte sich mittlerweile über ‚Responsives Design‘ Gedanken machen.
Es gibt einen nativen Logo-Support für Themes, einen Inline-Linkeditor sowie einige Änderungen dir für Entwickler sicherlich interessant sein dürften.

Auch die Bildkomprimierung wurde überarbeitet und soll nun besser, sprich effizienter funktionieren.

Im visuellen Editor wurden neue shortcuts eingebaut, allerdings nur 2 Stück, das hätte man besser machen können.

Alle Änderungen – auch die ‚Under The Hood‘ Updates, kann man im Changelog nachsehen.

Das Update geht einfach über den ‚Bitte aktualisiere jetzt‘ Link im WordPress Backend.

Wichtig

Vorher bitte am Besten ein Backup der Daten machen!

So, nun viel Spaß mit WordPress 4.5

Update 13.04.:

Es gibt wohl einiges an Problemen mit diesem Update, unter anderem ist das beliebte Avada Theme betroffen, hier kommt es zu Komplikationen mit den neuen Libraries in WordPress. Es gibt in diesem Fall allerdings schon einen Fix!

Betroffen sind auch alle Plugins / Themes welche auf die Funktion get_currentuserinfo() zurück greifen, diese kann nun nicht mehr genutzt werden und bringt somit Schwierigkeiten. Da gibt es eine ganze Liste an Plugins – also im Zweifel bitte vorher testen!

EventsManager, Piwik, w3-total-cache, Nextgen Gallery…

Error

Zu NGINX gibt es ein Update auf Version 1.9.14, hier werden laut Changelog einige Bugs behoben, sowie 2 neue Features eingeführt.

Zu jedem behobenen Bug gehört in der Regel auch ein neuer Bug :)
So hier Heute auf wpinfos.de zu bewundern gewesen (Debian, NGINX, php-fcgi)

Der Fehler tritt auf, wenn man http/2 nutzt. Die Seite lädt dann gar nicht – oder nur zum Teil. Hinzu kommt offenbar eine Abhängigkeit vom verwendeten Browser. Unter Chrome ließ sich wpinfos.de gar nicht aufrufen, unter Firefox nur zum Teil. Dafür schien im Internet Explorer alles in Ordnung zu sein.

Die Fehlermeldung im Log lautet:

readv() failed (104: Connection reset by peer) while reading upstream,

Verschiedene Versuche zur Umkonfigurierung schlugen fehl – daher musste http2 – zumindest vorübergehend – deaktiviert werden.

Dazu entfernt in der nginx Konfigurationsdatei für die entsprechende Domain den ‚http2‘ Teil im server {} Teil:

statt

dadurch lässt sich das Problem beheben.

Ich gehe davon aus, dass dieser Fehler in Kürze behoben werden dürfte.

security

Soeben erschienen ist Version 4.4.1 von WordPress * – mit diesem Release wird eine Sicherheitslücke geschlossen, die es einem Angreifer ermöglicht per cross-site scripting die Seite zu kompromitieren.

Wordpress 4.4.1

Die Release Notes  listen 52 behobene Fehler auf, unter anderem wurden auch die Emojis auf den neuesten Stand gebracht (so wirst du sie wieder los :) ) und Probleme in Hinblick auf alte Versionen von OpenSSL und Plugins behoben.

Bitte aktualisiert eure Installation im Backend, die Auto Updates werden derzeit ausgerollt.

*betroffen sind auch ältere Versionen von WordPress, auch hier stehen Updates zur Verfügung!

security

Soeben erschienen ist Version 4.3.1 (4.2.5, 4.1.8, etc) von WordPress.

Dieser Version schließt eine XSS Lücke beim bearbeiten von Shortcode Tags (CVE-2015-5714), welcher von Shanar Tal und Netanel Rubin von Check Point gemeldet wurde.
Die Beiden haben auch eine weitere Lücke gefunden, hier war es Benutzern möglich, private Einträge zu posten und diese fest zu pinnen(CVE-2015-5715).

Eine weitere Lücke hat das WordPress Security Team selbst gefunden – auch diese XSS Lücke in der Benutzer Tabelle wurde geschlossen.

Zusätzlich werden mit dem Update 26 Fehler behoben – kann man in den Release Notes nachlesen.

Das Update wird derzeit über die Auto Update Funktion ausgerollt, kann aber natürlich auch manuell installiert werden.

Bitte schaut, dass eure Installationen entsprechend aktualisiert werden!