WordPress 4.9.1 Sicherheits- und Wartungs-Release

WordPress 4.9.1 wurde heute veröffentlicht. Es ist ein Sicherheits- und Wartungs-Release für alle Versionen ab WordPress 3.7 und neuer. Das Entwicklungsteam empfiehlt die umgehende Aktualisierung.

Die Versionen WordPress 4.9 und älter sind von 4 Sicherheitslücken betroffen, die potenziell als eine Multi-Vektor-Attacke ausgeführt werden können. Die folgenden Fixes wurden in 4.9.1 implementiert:

  1. Nutzung eines sauberen Hashes für den newbloguser-Key anstelle eines festgelegten Substrings.
  2. Attribute von Sprachen werden escaped bei html-Elementen.
  3. Sicherstellen, dass Enclosures-Attribute richtig in RSS- und Atom-Feeds escaped sind .
  4. Die Möglichkeit wurde entfernt, JavaScript-Dateien hochzuladen, für Benutzer, die keine unfiltered_hmtl-Berechtigungen haben.

Vielen Dank an diejenigen, die diese Schwachstellen gemäß der responsible security disclosure gemeldet haben: Rahul Pratap Singh and John Blackbourn.

Elf andere Fehler wurden in WordPress 4.9.1 behoben. Besonders erwähnenswert sind hier:

  • Probleme, die in Zusammenhang mit dem Caching von Theme-Template-Dateien stehen.
  • Ein MediaElement-JavaScript-Fehler, der User verschiedener Sprachen daran gehindert hat, Medien hochzuladen.
  • Themes- und Plugin-Dateien konnten auf Windows-basierten Servern nicht bearbeitet werden.

In diesem Beitrag erfährst du mehr über alle Fehler, die in 4.9.1 behoben wurden.

Du kannst WordPress 4.9.1 hier herunterladen oder über das Dashboard aktualisieren, klick dafür im Adminbereich links auf Dashboard -> Aktualisierungen -> Jetzt aktualisieren. Websites, auf denen die automatischen Hintergrund-Updates aktiviert wurden, erhalten das Update im Lauf der nächsten Stunden automatisch.

Vielen Dank an alle, die zu der Entwicklung von WordPress 4.9.1 beigetragen haben:

Alain Schlesser, Andrea Fercia, Blobfolio, bobbingwide, Chetan Prajapati, Dion Hulse, Dominik Schilling (ocean90), edo888, Erich Munz, Felix Arntz, Florian TIAR, Gary Pendergast, Igor Benic, Jeff Farthing, Jeffrey Paul, jeremyescott, Joe McGill, John Blackbourn, johnpgreen, Kelly Dwan, lenasterg, Marius L. J., Mel Choyce, Mário Valney, natacado, odyssey, precies, Saša, Sergey Biryukov, und Weston Ruter.