WordPress 4.0.1 ist nun als Sicherheitsupdate verfügbar. Es wird empfohlen, dass dieses Update schnellstmöglich durchgeführt wird.
WordPress-Installationen, bei denen die Hintergrund-Aktualisierung aktiv ist, werden innerhalb der kommenden 12 Stunden automatisch auf Version 4.0.1 aktualisiert. Nachdem die automatische Hintergrund-Aktualisierung durchgeführt wurde, erhält der Administrator eine Bestätigungs-E-Mail.
(Wenn du immernoch WordPress 3.9.2, 3.8.4 oder 3.7.4 einsetzt, wird WordPress automatisch auf 3.9.3, 3.8.5 oder 3.7.5 aktualisiert. Es wird aber keinen weiteren Support für ältere Versionen mehr geben und es wird ein Update auf 4.0.1 empfohlen.)
Die Version 3.9.2 und ältere waren von einer kritischen Cross-Site-Scripting Schwachstelle betroffen. Diese wurde frühzeitig geschlossen und hatte keinen Einfluss auf die Version 4.0. Die Version 4.0.1 schließt allerdings folgende acht Sicherheitslücken:
- Drei Cross-Site-Scripting Lücken, womit die Benutzer mit der Rolle Mitarbeiter und Autor die Website manipulieren konnten. Entdeckt von Jon Cave, Robert Chapin und John Blackbourn vom WordPress Sicherheitsteam.
- Eine Cross-Site-Request-Forgery Lücke, womit Benutzer unberechtigt aufgefordert werden könnten, das Passwort zu ändern.
- Ein Problem, womit man bei der Passwort-Abfrage einen Denial of Service auslösen konnte. Gemeldet wurde dies von Javier Nieto Arevalo und Andres Rojas Guerrero.
- Weitere mögliche serverseitige Übergriffs-Attacken, wenn WordPress Aufrufe über HTTPS tätigen musste. Gemeldet von Ben Bidner.
- Eine extrem unglückliche Hashtag-Überschneidung hätte es ermöglichen können, dass Benutzerkonten manipuliert werden konnten. Gemeldet von David Anderson.
- WordPress annuliert nun den einmaligen Link in der Passwort-Zurücksetzen-Mail, falls dem Benutzer doch sein Passwort wieder eingefallen ist, sich anmeldet und dann die E-Mail Adresse ändert. Gemeldet von Momen Bassel,Tanoy Bose und Bojan Slavković of ManageWP.
WordPress 4.0.1 behebt noch weitere 23 Fehler, die in 4.0 aufgefallen sind. Es wurden zwei gravierende Änderungen vorgenommen.
Es wird darum gebeten, Sicherheitsfehler direkt an das Sicherheitsteam zu melden, damit solche Lücken schnell geschlossen werden können. Weitere Informationen zu diesem Sicherheits-Release sind in den Release-Notes und in der Liste der Änderungen zu finden.
Sofern die Hintergrund-Aktualisierung deaktiviert wurde, kann aus dem Administrationsbereich die Aktualisierung manuell eingeleitet werden.
Die offizielle deutschsprachige Vollversion 4.0.1 kann hier heruntergeladen werden. Weitere Informationen zu dieser Version finden sich im offiziellen Ankündigungsbeitrag und im Codex.
6 Antworten zu „WordPress 4.0.1 – Sicherheits-Update“
Letzte nacht wurde der update automatisch durchgeführt. Nun werden keine Vollbildslider mehr angezeigt. Was kann ich tun? Danke.
kann keine Text-Links in Visuell setzen – Bilder Hochladen funktioniert auch nicht – die Button koennen angeklickt werden – jedoch findet keine weitere Bearbeitung statt.
Ich habe nach dem Update 20MB mehr auf dem Server und gerade am Limit. Gibt es irgendwelche Backup-Dateien, die ich löschen kann?
@all Bitte stellt eure Fragen im Support-Forum. Danke!
ich habe letzte Woche das neue Word Press 4.0.1 runtergeladen und installiert. Alles super
Das einzigste was nicht mehr funktioniert sind die Bilder.
Sie liegen zwar noch alle in der Mediendatei, und sind in den Beiträgen als Beitragsbild geladen – werden aber nicht mit angezeigt.
Das gleiche Problem ist bei der SliderShow
was ist zu tun?
Bitte Support-Fragen im Support-Forum stellen.