Zum Inhalt springen

Archiv für das Tag "Security"

WordPress 3.4.1

Hui, vor kurzem kam erst die 3.4 heraus, jetzt wird schon das erste Update hinterher geschickt – anscheinend gab es bei einigen Server/php Versionen und Einstellungen wie "safe-mode" Schwierigkeiten, die nun behoben sind:

Fixes an issue where a theme’s page templates were sometimes not detected.
Addresses problems with some category permalink structures.
Better handling for plugins or themes loading JavaScript incorrectly.
Adds early support for uploading images on iOS 6 devices.
Allows for a technique commonly used by plugins to detect a network-wide activation.
Better compatibility with servers running certain versions of PHP (5.2.4, 5.4) or with uncommon setups (safe mode, open_basedir), which had caused

...

Google Conditional Hack, Teil 3

The saga continues… (siehe voriges Post)

Nachdem der Server nun gesäubert und unter genauer Beobachtung steht, konnten wir heute früh sehr zeitnah einen der Hacks verfolgen. Leider ist immer noch nicht klar, wie die Angreifer es schaffen, Dateien auf dem Server zu plazieren oder zu modifizieren, aber jetzt ist klarer, wie der Angriff (oder zumindest eine Variation) läuft.

Innerhalb von wenigen Sekunden wurden innerhalb der htroot zwei php Dateien in unterschiedlichen Verzeichnissen erzeugt, die harmlos-nichtssagende Namen haben und wahrscheinlich bei oberflächlicher Betrachtung nicht weiter auffallen würden, eine "common.php" gibts ja immer irgendwo ;-). Diese Dateien enthielten nichts weiter als mit ...

WordPress 3.3.1

Neues Jahr, neues Update

WordPress 3.3.1 is now available. This maintenance release fixes 15 issues with WordPress 3.3, as well as a fix for a cross-site scripting vulnerability that affected version 3.3. Thanks to Joshua H., Hoang T., Stefan Zimmerman, Chris K., and the Go Daddy security team for responsibly disclosing the bug to our security team.

- heute ist eine weitere Aktualisierung von WordPress erschienen, die wie gehabt als Download auf wordpress.org (EN-Version) oder wordpress-deutschland.org (DE-Version) erhältlich ist, falls das automatische Update über den Adminbereich nicht klappt.

Sicherheitslücke in WordPress-Erweiterung "TimThumb"

Oha – gerade bei heise.de entdeckt: Eine Sicherheitslücke der WordPress-Erweiterung "TimThumb" wird wohl heftig ausgenutzt:

Kriminelle nutzen eine kritische Lücke im WordPress-Addon TimThumb im großen Stil zur Verbreitung von Schadcode, wie der Antivirenhersteller Avast berichtet (PDF). Avast hat im September über 2500 infizierte Sites blockiert und rechnet im Oktober mit ähnlichen Zahlen. Die Angreifer installieren das professionelle Exploit-Framework BlackHole auf den Servern. Das Framework versucht die Besucher des WordPress-Blogs künftig mit Schadcode zu infizieren, indem es verschiedene Sicherheitslücken im Webbrowser und den installierten Plugins durchprobiert. […]

Eine aktualisierte Version der Erweiterung, die diese Lücke schliesst, ist schon erschienen, Aktualisierung ...

E-Mail Terroranschlag

Gerade drüben beim Nerdcore drüber gestolpert:

Die deutsche Polizeigewerkschaft warnt: „Der nächste Terroranschlag könnte per email kommen“. /Facepalm/ (via Netzpolitik).

Dem Webrocker-Hauptquartier wurde soeben ein Prototyp der befürchteten Terroremail zugespielt. Lesen auf eigene Gefahr!

WordPress 3.1.3 Security Update

Ein weiteres Update für den 3.1er Zweig des Bloggetriebes ist gestern erschienen und bringt eine Reihe von Sicherheitsverbesserungen mit:

Various security hardening by Alexander Concha.
Taxonomy query hardening by John Lamansky.
Prevent sniffing out user names of non-authors by using canonical redirects. Props Verónica Valeros.
Media security fixes by Richard Lundeen of Microsoft, Jesse Ou of Microsoft, and Microsoft Vulnerability Research.
Improves file upload security on hosts with dangerous security settings.
Cleans up old WordPress import files if the import does not finish.
Introduce “clickjacking” protection in modern browsers on admin and login pages.

Die EN- und DE-Versionen sind über das Auto-Update des Adminbereiches installierbar oder ...

WordPress 3.1.2 Security Update

Vorgestern ist ein weiteres Sicherheitsupdate für WordPress erschienen - die Version 3.1.2.
Bereit zum Runterladen im WordPress US-Headquarter oder dem WP DE-Hauptquartier, oder über das Auto-Update im Backend.

WordPress 3.1.1 Security Update

Und weiter gehts, 3.1.1, das nächste WordPress-Update, ist gestern erschienen, ein "maintenance release with additional security fixes". Also anscheinend kein "großes" Security-Update, sondern ein eher kleines. Die wordpress-deutschland.org DE-Version ist auch schon da.

WordPress 3.0.5 Security Update

Heute Nacht ist ein weiteres Security-Update für WordPress erschienen, was vor allem das "hardening", also das immunisieren gegenüber Hackversuche, weiter verbessern soll und Lücken im Zusammenhang mit "jeder kann sich registrieren" schliesst.

Das Update wird von den Entwicklern allen Anwendern empfohlen.

Die Aktualisierung gibt es wie gewohnt über das Auto-Update im Backend oder für Handwerker unter wordpress.org für die englische Version. Im moment (Stand 7:00h) ist die wordpress-deutschland.org Version noch nicht aktuell, wird aber in Kürze bereit stehen.

Ausserdem wurde der Release Canditate 4 des demnächst anstehenden großen Versionssprungs, WP 3.1, veröffentlicht.