24. Oktober 2008, Alex Günsche
Jaja, es ist wieder Zeit zu mosern: Kurz nachdem WP 2.6.3 erschienen ist, wurde es notwendig, eine weitere potentielle Lücke zu beheben; diese betrifft aber nur die Benutzer des default-Themes — wobei nicht auszuschließen ist, dass das eine oder andere Theme diesen Fehler übernommen hat. Es handelt sich um ein XSS-Problem in der Datei sidebar.php.
Ganz konkret geht es um folgenden Code (Zeile 33 in 2.6.3):
get_search_query()
Er muss durch den folgendes ersetzt werden:
wp_specialchars(get_search_query(), true))
Glücklicherweise reicht es aus, entweder den Code wie beschrieben zu ändern oder die Datei /wp-content/themes/default/sidebar.php gegen die neueste Version auszutauschen.
Um jedoch Missverständnisse auszuschließen, haben wir die vorhin veröffentlichte Version 2.6.3 zurückgezogen und stattdessen die Version 2.6.3-r1 veröffentlicht (betrifft nur de.wordpress.org).
Vielen Dank an Olaf für den Hinweis.
[...] Nachtrag: In WordPress gab es noch eine XSS-Lücke. Um Missverständnisse zu vermeiden, ist WordPress 2.6.3 zu… [...]
Am Meckern oder Mosern bin ich nicht. Ich fühle mich bei WP gut aufgehoben, hier machen sich Leute, die Ahnung haben Gedanken um die Sicherheit von WP, also gibt es für mich auch nichts zu meckern.
Lieber einmal mehr eine neu Datei einspielen, als sein Blog verlieren.
Macht weiter so.
Gruss aus dem Norden
thomas
[...] es nun schon seit einiger Zeit zum Download bereit steht, habe ich mich heute endlich dazu durchgerungen ein Update auf Wordpress 2.6.3 [...]