Zum Inhalt springen

Archiv für "Sicherheitsleck"

WordPress 2.2.1 Update

So, bin gerade aus dem Blogkeller zurück und habe den Blogmotor mit neuem Blogöl versorgt, dabei ein paar Schrauben angezogen und hinten im Blogschrank die aten Klamotten entsorgt. Dabei ist mir aufgefallen, dass das eine Fenster hinten zum Bloghof nicht richtig geschlossen war, und auch das Schloss in der Blogkellertür war nicht richtig fest. Da hätte ja sonstwas passieren können...

:-)

Solltet Ihr auch mal zeitnah machen, falls bei Euch auch WordPress im Blogkeller tuckert.

WordPress Themes XSS anfällig

Gerade eben bin ich über einen Artikel auf heise.de gestolpert, der über einen Report im Bugtrack auf insecure.org berichtet. Demzufolge sind einige WordPress-Themes anfällig gegen XSS-Attacken.

Wegen einer ungeprüften Verwendung von $_SERVER['PHP_SELF'] in der sidebar.php und der searchform.php kann bei Blogs, die über eine eigene, aus WordPress heraus angezeigte 404-Fehler-Seite verfügen, über die URL eingeschleuster Code ausgeführt werden. Durch eine einfache kleine Änderung in der Theme-Datei wird diese Lücke geschlossen.

Ich habe das gerade mal bei meinen und anderen WordPress-Installationen ausprobiert, und die betroffenen Blogbetreiber per Mail unterrichtet.

Achtung! WordPress (en) 2.1.1 wurde "gehackt" - dringend updaten

Das fand ich soeben in meinem WordPress-Startscreen:

Auf WordPress.org ist das passiert, was man wohl als "worst case" bezeichnen kann. Ein Hacker hat sich Zugang zu einem der WP.org-Server verschafft und den Download der Version 2.1.1 modifiziert. (...)

- wordpress.de

Also, am Besten gleich auf die neue Version 2.1.2 aktualisieren. Ich habe das gerade hier gemacht, ging völlig problemlos.

WordPress Update 2.0.7

eieieieieiei.
Geht das schon wieder los? :-)

WordPress Security Issue

Dr Dave, der schon gestern von mir gelobte Autor des SpamKarma Plugins, hat heute eine ziemlich dringend und ernst formulierte Warnung an alle WordPress-User im Begrüssungsdialog des Plugins angebracht.

MAJOR SECURITY ANNOUNCEMENT
Affecting all WP users (this is not specifically a Spam Karma problem). Please immediately disable 'guest user registration' on your blog if it's enabled and advise all your friends to do so (...). I cannot give too much technical details as it would further endanger vulnerable WordPress users, but trust me this is not a joke.

Näheres steht in seinem Blog: critical announcement to all wordpress users ...