WordPress.org

Neuigkeiten

WordPress 4.0.1 – Sicherheits-Update

WordPress 4.0.1 – Sicherheits-Update


WordPress 4.0.1 ist nun als Sicherheitsupdate verfügbar. Es wird empfohlen, dass dieses Update schnellstmöglich durchgeführt wird.

WordPress-Installationen, bei denen die Hintergrund-Aktualisierung aktiv ist, werden innerhalb der kommenden 12 Stunden automatisch auf Version 4.0.1 aktualisiert. Nachdem die automatische Hintergrund-Aktualisierung durchgeführt wurde, erhält der Administrator eine Bestätigungs-E-Mail. 

(Wenn du immernoch WordPress 3.9.2, 3.8.4 oder 3.7.4 einsetzt, wird WordPress automatisch auf 3.9.3, 3.8.5 oder 3.7.5 aktualisiert. Es wird aber keinen weiteren Support für ältere Versionen mehr geben und es wird ein Update auf 4.0.1 empfohlen.)

Die Version 3.9.2 und ältere waren von einer kritischen Cross-Site-Scripting Schwachstelle betroffen. Diese wurde frühzeitig geschlossen und hatte keinen Einfluss auf die Version 4.0. Die Version 4.0.1 schließt allerdings folgende acht Sicherheitslücken:

  • Drei Cross-Site-Scripting Lücken, womit die Benutzer mit der Rolle Mitarbeiter und Autor die Website manipulieren konnten. Entdeckt von Jon Cave, Robert Chapin und John Blackbourn vom WordPress Sicherheitsteam.
  • Eine Cross-Site-Request-Forgery Lücke, womit Benutzer unberechtigt aufgefordert werden könnten, das Passwort zu ändern.
  • Ein  Problem, womit man bei der Passwort-Abfrage einen Denial of Service auslösen konnte. Gemeldet wurde dies von Javier Nieto Arevalo und Andres Rojas Guerrero.
  • Weitere mögliche serverseitige Übergriffs-Attacken, wenn WordPress Aufrufe über HTTPS tätigen musste. Gemeldet von Ben Bidner.
  • Eine extrem unglückliche Hashtag-Überschneidung hätte es ermöglichen können, dass Benutzerkonten manipuliert werden konnten. Gemeldet von  David Anderson.
  • WordPress annuliert nun den einmaligen Link in der Passwort-Zurücksetzen-Mail, falls dem Benutzer doch sein Passwort wieder eingefallen ist, sich anmeldet und dann die E-Mail Adresse ändert. Gemeldet von Momen Bassel, Tanoy Bose und Bojan Slavković of ManageWP.

WordPress 4.0.1 behebt noch weitere 23 Fehler, die in 4.0 aufgefallen sind. Es wurden zwei gravierende Änderungen vorgenommen.

Es wird darum gebeten, Sicherheitsfehler direkt an das Sicherheitsteam zu melden, damit solche Lücken schnell geschlossen werden können. Weitere Informationen zu diesem Sicherheits-Release sind in den Release-Notes und in der Liste der Änderungen zu finden.

Sofern die Hintergrund-Aktualisierung deaktiviert wurde, kann aus dem Administrationsbereich die Aktualisierung manuell eingeleitet werden.

Die offizielle  deutschsprachige Vollversion 4.0.1 kann hier heruntergeladen werden. Weitere Informationen zu dieser Version finden sich im offiziellen Ankündigungsbeitrag und in der Documentation.

Quelle

Kategorien

Abonnieren