WordPress 4.3.1 Sicherheits- und Wartungs-Release veröffentlicht

Seit Kurzem ist WordPress 4.3.1 verfügbar. Dabei handelt es sich um einen Sicherheits-Release und ein Update auf die neue Version sollte dringend vorgenommen werden.

Die neue Version schließt drei Sicherheitslücken. So sind WordPress 4.3 und frühere Versionen anfällig durch eine XSS-Lücke bei der Verarbeitung von Shortcode-Tags. Gemeldet wurde diese Lücke durch Shahar Tal und Netanel Rubin von Check Point. Eine weitere Cross-Site-Scripting-Lücke wurde von Ben Bidner aus dem WordPress-Security-Team gefunden. Sie betrifft die Benutzerliste im Backend.

Die dritte Sicherheitslücke, die geschlossen wurde, kann es Benutzern ohne notwendige Berechtigung ermöglichen, private Beiträge zu veröffentlichen und sie auf den Status „Sticky“ zu setzen. Auch diese Lücke wurde von Shahar Tal und Netanel Rubin gefunden und gemeldet.

Vielen Dank an die Finder der Sicherheitslücken, dass sie verantwortungsvoll damit umgegangen sind. Neben diesen Sicherheitslücken behebt WordPress 4.3.1 noch 26 Bugs. Genauere Informationen dazu findet ihr in der Liste der Änderungen oder in den Release-Notes.

Wenn ihr automatische Updates deaktiviert habt, müsst ihr wie gewohnt das Update über euer WordPress-Dashboard vornehmen. Wenn automatische Updates aktiv sind, dann braucht ihr nichts weiter zu unternehmen, siehe dazu auch „diesen Artikel“.

Ebenfalls veröffentlicht wurden die Sicherheits-Updates: 4.2.5, 4.1.8, 4.0.8, 3.9.9, 3.8.11 und 3.7.11.

Danke an alle, die an WordPress 4.3.1 mitgewirkt haben:

Adam Silverstein, Andrea Fercia, Andrew Ozz, Boone Gorges, Brandon Kraft, chriscct7, Daisuke Takahashi, Dion Hulse, Dominik Schilling, Drew Jaynes, dustinbolton, Gary Pendergast, hauvong, James Huff, Jeremy Felt, jobst, Marin Atanasov, Nick Halsey, nikeo, Nikolay Bachiyski, Pascal Birchler, Paul Ryan, Peter Wilson, Robert Chapin, Samuel Wood, Scott Taylor, Sergey Biryukov, tmatsuur, Tracy Levesque, Umesh Nevase, vortfu, welcher, Weston Ruter.