WordPress 4.1.2 Sicherheits-Release

WordPress 4.1.2 ist heute veröffentlicht worden. Es behebt kritische Sicherheitslücken, die alle vorherigen Versionen betrifft. Somit wird ein sofortiges Aktualisieren dringend empfohlen.

WordPress 4.1.1 und die Versionen davor sind von einer kritischen Cross-Site-Scripting-Sicherheitslücke (XSS) betroffen, die es einem anonymen Benutzer ermöglicht, die Website zu kompromittieren. Dies wurde von Cedrik van Bockhaven gemeldet und von Gary Pendergast, Mike Adams und Andrew Nacin vom WordPress-Sicherheitsteam behoben.

Weitere drei Sicherheitslücken wurden gefixt :

  • In WordPress 4.1 und höher konnten Dateien mit invaliden oder unsicheren Namen hochgeladen werden. Entdeckt von Michael Kapfer und Sebastian Kraemer von HSASec.
  • In WordPress 3.9 und höher konnte eine sehr limitierte Cross-Site-Scripting-Lücke als Teil einer Social-Engineering-Attacke genutzt werden. Entdeckt von Jakub Zoczek.
  • Einige Plug-Ins waren anfällig für SQL Injection Lücken. Entdeckt von Ben Bidner vom WordPress-Sicherheitsteam.

Weitere Informationen findest du in der Release-Ankündigung und im Changelog.

 

Das Update wird für alle WordPress Installationen automatisch ausgeliefert, die Auto-Updates unterstützen. Alternativ kannst du die Version 4.1.2 hier herunterladen oder über Dashboard → Aktualisierung manuell aktualisieren.

Vielen Dank an alle Mitwirkenden von 4.1.2: Allan Collins, Alex Concha, Andrew Nacin, Andrew Ozz, Ben Bidner, Boone Gorges, Dion Hulse, Dominik Schilling, Drew Jaynes, Gary Pendergast, Helen Hou-Sandí, John Blackburn und Mike Adams.

 

Mehrere Plug-Ins von Sicherheitslücken betroffen

Eine Anzahl von Plug-Ins haben ebenfalls Sicherheits-Updates veröffentlicht. Bitte halte alles aktuell und achte in der nächsten Zeit verstärkt auf Aktualisierungen. Weitere Informationen findest du in diesem Beitrag von Sucuri. Wenn du ein Plug-In-Entwickler bist, lies bitte diesen Artikel.

 

Support

Falls du wider Erwarten Probleme mit diesem Release hast, kannst du dich gerne an einen der Support-Kanäle wenden. Bitte habe Verständnis dafür, dass wir im Rahmen der Kommentar-Funktion keinen Support leisten können.