dinofuss.de

Die WordPress-Entwickler haben heute Version 2.6.2 von WordPress veröffentlicht und reagieren damit auf eine kritische Sicherheitslücke, welche vom PHP-Security Experten Stefan Esser entdeckt wurde. Von dieser Lücken sind allerdings nur Blogs betroffen, die eine offene Registrierung erlauben. Der Fehler liegt in der Übergabe von Parametern an die Datenbank (SQL-Column-Truncation). Dadurch ist es möglich mit bestimmten Namen bei der Registrierung die Passwörter von anderen Nutzer auf einen zufälligen Wert zurück zu setzen. In Verdindung mit einer Schwachstelle in der Funktion mt_rand() mit der die Passwörter generiert werden, lassen sich dann die Passwörter voraussagen.

Weitere Details dazu werden in Kürze noch veröffentlicht werden. Neben der Beseitigung der beschriebenen Lücke, wurden noch diverse weitere Programmfehler behoben. Von daher sollte man auch dann ein Update in Erwägung ziehen auch wenn man keine offene Registrierung erlaubt.

Bei WordPress-Deutschland steht die aktuelle Version 2.6.2 als Installations- und Update-Paket zum Download bereit.

Tags: Blog, WordPress

Dieser Beitrag wurde am Dienstag, 9. September 2008 um 19:58 Uhr in der Kategorie WordPress veröffentlicht. Gelesen: 619 · heute: 4 · zuletzt: Mittwoch, 10. März 2010 - 13:29. Kommentare zu diesem Beitrag kannst du per RSS 2.0 verfolgen. Du kannst einen Kommentar hinterlassen, oder einen Trackback deiner Seite eintragen.

Ähnliche Artikel: