WordPress 4.2.2 Sicherheits- und Wartungs-Release

WordPress 4.2.2 wurde heute veröffentlicht. Diese Version ist ein Sicherheits-Update für alle Versionen kleiner als 4.2.2 und daher wird ein sofortiges Aktualisieren dringend empfohlen.

Version 4.2.2 behebt zwei Sicherheitslücken:

  • Das Icon-Schriftenpaket „Genericons“, das in etlichen beliebten Themes und Plugins genutzt wird, enthält eine für Hacker-Angriffe anfällige HTML-Datei. Alle betroffenen Themes (inklusive das Standard-Theme „Twenty Fifteen“) und Plugins, die auf WordPress.org gehostet werden, sind vom „WordPress Security Team“ heute aktualisiert worden, die betreffende HTML-Datei wurde entfernt.Um eine darüber hinausgehende Nutzung der Genericons zu schützen, scannt WordPress 4.2.2 proaktiv das Verzeichnis wp-content nach dieser HTML-Datei und entfernt sie. Gemeldet von Robert Abela von Netsparker.
  • WordPress Version 4.2 und alle früheren Versionen hatten eine kritische cross-site scripting Sicherheitslücke (XSS), die es nicht angemeldeten Besuchern der Website ermöglichte, die Website zu kompromittieren. WordPress 4.2.2 enthält einen umfassenden Fix für diese Sicherheitslücke. Separat gemeldet von Rice Adu und Tong Shi.

 

Die Version 4.2.2 beinhaltet ferner eine Verstärkung zur Abwehr einer potentiellen cross-site scripting Sicherheitslücke, wenn der visuelle Editor genutzt wird. Dieses Problem wurde von Mahadev Subedi gemeldet.

Das WordPress-Team bedankt sich bei allen, die das responsible disclosure bei der Meldung von Sicherheitslücken praktiziert haben.

Außerdem behebt WordPress 4.2.2 insgesamt 13 Bugs der Version 4.2. Für weitere Informationen, siehe die release notes oder die list of changes.

 

Lade dir WordPress 4.2.2 englisch  oder WordPress 4.2.2 deutsch herunter oder navigiere zum Dashboard → Updates und klicke einfach auf „Aktualisieren“. Websites die das automatische Hintergrund-Update erlaubt haben, werden automatisch mit den Updates für WordPress 4.2.2 versorgt. Für weitere Informationen über die automatischen Hintergrund-Updates, siehe „Die Hintergrund-Updates von WordPress – was genau passiert da eigentlich?„.

 

Danke an all diejenigen, die bei der Version 4.2.2 mitgewirkt haben:

Aaron Jorbin, Andrew Ozz, Andrew Nacin, Boone Gorges, Dion Hulse, Ella Iseulde Van Dorpe, Gary Pendergast, Hinaloe, Jeremy Felt, John James Jacoby, Konstantin Kovshenin, Mike Adams, Nikolay Bachiyski, taka2, und willstedt.