Archiv für das Tag "Security"

WordPress 3.8.2 Security Update

Gerade eben ist ein Sicherheitsupdate für WordPress erschienen:

This an important security release for all previous versions and we strongly encourage you to update your sites immediately.

This releases fixes a weakness that could let an attacker force their way into your site by forging authentication cookies. This was discovered and fixed by Jon Cave of the WordPress security team.

It also contains a fix to prevent a user with the Contributor role from improperly publishing posts. Reported by edik.

This release also fixes nine bugs and contains three other security hardening changes:

Pass along additional information when processing pingbacks to help hosts


Datenklau, again

Na, auf einem Hack stehts sich schlecht – nachdem also vor kurzem meine Daten bei Vodafone abhanden gekommen sind, ist nun Adobe angegriffen worden und natürlich ist mein Datensatz auch bei den 2.9 Millionen betroffenen dabei.

[…] We recently discovered that attackers illegally entered our network. The attackers may have obtained access to your Adobe ID and encrypted password. We currently have no indication that there has been unauthorized activity on your account. If you have placed an order with us, information such as your name, encrypted payment card number, and card expiration date also may have been


WordPress 3.6.1 ist erschienen

Vor kurzem ist ein “Maintenance and Security Release” veröffentlicht worden und auf den WordPress.org Servern oder über das Admin-Backend erhältlich:

WordPress 3.6.1 is also a security release for all previous WordPress versions and we strongly encourage you to update your sites immediately. It addresses three issues fixed by the WordPress security team:

Block unsafe PHP unserialization that could occur in limited situations and setups, which can lead to remote code execution.
Reported by Tom Van Goethem.
Prevent a user with an Author role, using a specially crafted request, from being able to create a post “written by” another user.
Reported by


WordPress 3.5.2 Update

Ein ‘Maintenance and Security Release’ ist gerade veröffentlicht worden:

The security fixes included:

Blocking server-side request forgery attacks, which could potentially enable an attacker to gain access to a site.
Disallow contributors from improperly publishing posts, reported by Konstantin Kovshenin, or reassigning the post’s authorship, reported by Luke Bryan.
An update to the SWFUpload external library to fix cross-site scripting vulnerabilities. Reported by mala and Szymon Gruszecki.
Prevention of a denial of service attack, affecting sites using password-protected posts.
An update to an external TinyMCE library to fix a cross-site scripting vulnerability. Reported by Wan Ikram.
Multiple fixes for cross-site scripting. Reported by Andrea Santese


WordPress 3.4.2 Update

Nanu, da ist mir doch tatsächlich im Trubel der letzten Tage das kürzlich erschienene Wartungs- und Sicherheitsupdate 3.4.2 von WordPress durchgerutscht.
Wie gewohnt lief die Aktualisierung per Backend problemlos, ob irgendwas kaputt gegangen ist, werde ich dann wohl im Laufe der Zeit sehen :-)
Neben dem erwähnten Update per Adminbereich gibt es natürlich auch die DE-Version zum Downloaden bei wordpress-deutschland.org oder gleich das Original bei den Amis.


WordPress 3.4.1

Hui, vor kurzem kam erst die 3.4 heraus, jetzt wird schon das erste Update hinterher geschickt – anscheinend gab es bei einigen Server/php Versionen und Einstellungen wie “safe-mode” Schwierigkeiten, die nun behoben sind:

Fixes an issue where a theme’s page templates were sometimes not detected.
Addresses problems with some category permalink structures.
Better handling for plugins or themes loading JavaScript incorrectly.
Adds early support for uploading images on iOS 6 devices.
Allows for a technique commonly used by plugins to detect a network-wide activation.
Better compatibility with servers running certain versions of PHP (5.2.4, 5.4) or with uncommon setups (safe mode, open_basedir), which had caused


Google Conditional Hack, Teil 3

The saga continues… (siehe voriges Post)

Nachdem der Server nun gesäubert und unter genauer Beobachtung steht, konnten wir heute früh sehr zeitnah einen der Hacks verfolgen. Leider ist immer noch nicht klar, wie die Angreifer es schaffen, Dateien auf dem Server zu plazieren oder zu modifizieren, aber jetzt ist klarer, wie der Angriff (oder zumindest eine Variation) läuft.

Innerhalb von wenigen Sekunden wurden innerhalb der htroot zwei php Dateien in unterschiedlichen Verzeichnissen erzeugt, die harmlos-nichtssagende Namen haben und wahrscheinlich bei oberflächlicher Betrachtung nicht weiter auffallen würden, eine “common.php” gibts ja immer irgendwo ;-). Diese Dateien enthielten nichts weiter als mit …


WordPress 3.3.1

Neues Jahr, neues Update

WordPress 3.3.1 is now available. This maintenance release fixes 15 issues with WordPress 3.3, as well as a fix for a cross-site scripting vulnerability that affected version 3.3. Thanks to Joshua H., Hoang T., Stefan Zimmerman, Chris K., and the Go Daddy security team for responsibly disclosing the bug to our security team.

- heute ist eine weitere Aktualisierung von WordPress erschienen, die wie gehabt als Download auf wordpress.org (EN-Version) oder wordpress-deutschland.org (DE-Version) erhältlich ist, falls das automatische Update über den Adminbereich nicht klappt.


Sicherheitslücke in WordPress-Erweiterung “TimThumb”

Oha – gerade bei heise.de entdeckt: Eine Sicherheitslücke der WordPress-Erweiterung “TimThumb” wird wohl heftig ausgenutzt:

Kriminelle nutzen eine kritische Lücke im WordPress-Addon TimThumb im großen Stil zur Verbreitung von Schadcode, wie der Antivirenhersteller Avast berichtet (PDF). Avast hat im September über 2500 infizierte Sites blockiert und rechnet im Oktober mit ähnlichen Zahlen. Die Angreifer installieren das professionelle Exploit-Framework BlackHole auf den Servern. Das Framework versucht die Besucher des WordPress-Blogs künftig mit Schadcode zu infizieren, indem es verschiedene Sicherheitslücken im Webbrowser und den installierten Plugins durchprobiert. […]

Eine aktualisierte Version der Erweiterung, die diese Lücke schliesst, ist schon erschienen, Aktualisierung …



Das Design, der Code, 1478 Texte, die Illustrationen und ein paar Fotos sind von mir.

Powered by WordPress