Zum Inhalt springen Skip to navigation

Webrocker Blog

Archiv für "Security" (Seite 4)

Sicherheitslücke in WordPress-Erweiterung "TimThumb"

Oha – gerade bei heise.de entdeckt: Eine Sicherheitslücke der WordPress-Erweiterung "TimThumb" wird wohl heftig ausgenutzt: Kriminelle nutzen eine kritische Lücke im WordPress-Addon TimThumb im großen Stil zur Verbreitung von Schadcode, wie der Antivirenhersteller Avast berichtet (PDF). Avast hat im September über 2500 infizierte Sites blockiert und rechnet im Oktober mit ähnlichen Zahlen. Die Angreifer installieren…


E-Mail Terroranschlag

Gerade drüben beim Nerdcore drüber gestolpert: Die deutsche Polizeigewerkschaft warnt: „Der nächste Terroranschlag könnte per email kommen“. /Facepalm/ (via Netzpolitik). Dem Webrocker-Hauptquartier wurde soeben ein Prototyp der befürchteten Terroremail zugespielt. Lesen auf eigene Gefahr!


WordPress 3.1.3 Security Update

Ein weiteres Update für den 3.1er Zweig des Bloggetriebes ist gestern erschienen und bringt eine Reihe von Sicherheitsverbesserungen mit: Various security hardening by Alexander Concha. Taxonomy query hardening by John Lamansky. Prevent sniffing out user names of non-authors by using canonical redirects. Props Verónica Valeros. Media security fixes by Richard Lundeen of Microsoft, Jesse Ou…


WordPress 3.1.2 Security Update

Vorgestern ist ein weiteres Sicherheitsupdate für WordPress erschienen - die Version 3.1.2. Bereit zum Runterladen im WordPress US-Headquarter oder dem WP DE-Hauptquartier, oder über das Auto-Update im Backend.


WordPress 3.1.1 Security Update

Und weiter gehts, 3.1.1, das nächste WordPress-Update, ist gestern erschienen, ein "maintenance release with additional security fixes". Also anscheinend kein "großes" Security-Update, sondern ein eher kleines. Die wordpress-deutschland.org DE-Version ist auch schon da.


WordPress 3.0.5 Security Update

Heute Nacht ist ein weiteres Security-Update für WordPress erschienen, was vor allem das "hardening", also das immunisieren gegenüber Hackversuche, weiter verbessern soll und Lücken im Zusammenhang mit "jeder kann sich registrieren" schliesst. Das Update wird von den Entwicklern allen Anwendern empfohlen. Die Aktualisierung gibt es wie gewohnt über das Auto-Update im Backend oder für Handwerker…


WordPress 3.0.4 - Security Update

Oha, da scheint wohl eine heftige Lücke in WordPress entdeckt und gefixt worden zu sein, zumindestens scheint die Dringlichkeit im Text der Meldung durch: […] a very important update to apply to your sites as soon as possible because it fixes a core security bug in our HTML sanitation library, called KSES. I would rate…


WordPress 2.9.2

Und *schwupps* ist eine weitere WordPress-Version erschienen, die eine Lücke stopft, die es ermöglicht, dass Backendbenutzer die Einträge im Mülleimer eines anderen Backendbenutzers sehen können. Wer also "untrusted users" Zugang zum Backend ermöglicht, sollte aktualisieren, so steht es im Developer-Blog zu lesen. Die wordpress-deutschland.org DE-Version ist auch schon da.


WordPress 2.8.6 ist da

Jetzt gehts aber Schlag auf Schlag; gerade erst kam das 2.8.5 Update und jetzt schon wieder ein Security-Release: WP 2.8.6. Aus dem wordpress-deutschland.org-Blog: Soeben wurde WordPress 2.8.6 veröffentlicht. Diese Version ist ein Sicherheitsrelease und behebt ein Problem, durch das auf bestimmten Apache-Installationen Dateien wie “foto.php.jpg” als Code ausgeführt werden können. Das Problem tritt unter bestimmten…


Besuch vom Böse-Buben-Bot

Nach dem Öffnen meines Mailprogramms erwartete mich eben diese kleine Überraschung: Wieder einmal probiert irgendwer, sich mittels "Directory Traversal Attack" an die '/etc/passwd' Datei des Servers heranzuschleichen, in der Hoffnung, dass a) irgendwo in meinem Frontend die Variablen aus dem Query-String einfach so ausgegeben werden oder, in diesem Fall, eine Datei, die im "page=" Parameter…


WordPress 2.8.3 erschienen

Unfortunately, I missed some places when fixing the privilege escalation issues for 2.8.1. Luckily, the entire WordPress community has our backs. Several folks in the community dug deeper and discovered areas that were overlooked. With their help, the remaining issues are fixed in 2.8.3. Since this is a security release, upgrading is highly recommended. Download…


Kritische Sicherheitslücke in aktuellen WordPress Versionen

Gestern hat ein User des deutschen WP-Forums beschrieben, wie ein beliebiger registrierter User auf Adminfunktionen, für die er eigentlich keine Rechte hat, zugreifen kann. Da es unter anderem die Einstellungen der Permalinks und die Plugins betrifft, kann er ziemlich viel Mist anstellen. Die Lücke ist dem WordPress-Securityteam gemeldet worden. Betroffen sind alle 2.8er Versionen und…