WordPress 5.3.1 Sicherheits- und Wartungs-Release

WordPress 5.3.1 wurde heute veröffentlicht. Die neue Version behebt 46 Bugs und schließt einige Sicherheitslücken.

Ihr könnt WordPress 5.3.1 im Download-Bereich herunterladen oder bestehende Installationen im Dashboard aktualisieren. Wenn ihr automatische Hintergrundupdates nicht deaktiviert habt, könnte die neue Version bereits bei euch live sein.

Sicherheits-Updates

Vier Sicherheitslücken in 5.3 und früher wurden von 5.3.1 geschlossen, es ist also ratsam, das Update zu installieren. Wenn ihr noch nicht auf dem 5.3-Zweig seid, gibt es auch für die Zweige 5.2 und früher entsprechende Updates.

  • Danke an Daniel Bachhuber für das Finden eines Problems, durch das ein unberechtigter User über die REST-API einen Beitrag sticky machen konnte.
  • Danke an Simon Scannell von RIPS Technologies für das Finden und Melden eines Problems, bei dem Cross-Site-Scripting (XSS) in Links vorkommen kann.
  • Danke an das WordPress.org-Sicherheits-Team für das Verbessern von wp_kses_bad_protocol(), um sicherzustellen, dass es das »named colon«-Attribut kennt.
  • Danke an Nguyen The Duc für das Finden einer gespeicherten XSS-Lücke, bei der Block-Editor-Inhalt genutzt wird.

Bug-Fixes und Verbesserungen

Hier sind ein paar der Highlights:

  • Administration: Verbesserungen bei der Standardisierung von Höhe und Ausrichtung bei Formularfeldern, der Barrierefreiheit von Links in Dashboard-Widgets und bei Problemen mit der Lesbarkeit bei alternativen Farbschemata.
  • Block-Editor: Scroll-Probleme in Edge und zeitweilig auftretende JavaScript-Probleme behoben.
  • Standard-Themes: Customizer-Option eingefügt, um die Autoren-Bio zu zeigen/zu verstecken, JS-basiertes Smooth Scrolling mit CSS ersetzt und Probleme mit dem CSS für Instagram-Embeds behoben.
  • Datum/Zeit: Verbesserungen von Berechnungen mit nicht-GMT-Daten, Beheben von Problemen mit der Datumsformat-Ausgabe in bestimmten Sprachen und get_permalink() wurde widerstandsfähiger gegen PHP-Zeitzonen-Veränderungen gemacht.
  • Embeds: CollegeHumor entfernt, weil der Service nicht mehr existiert.
  • Externe Bibliotheken: sodium_compat aktualisiert.
  • Website-Zustand: Das Zeitintervall, in dem nach einer Bestätigung der Administrator-E-Mail-Adresse gefragt wird, lässt sich filtern.
  • Uploads: Verhindern, dass Thumbnails andere Uploads überschreiben, wenn die Dateinamen übereinstimmen, und PNG-Bilder von der Skalierung nach dem Upload ausschließen.
  • User: Sicherstellen, dass die Verifizierung der Administrator-E-Mail-Adresse die Sprache des Users nutzt, nicht die der Site.

Für mehr Informationen zu der neuen Version gibt es eine Liste aller Änderungen im Trac und eine 5.3.1-Seite im HelpHub.

Danke!

Zusätzlich zu den bereits erwähnten Personen, die Sicherheitslücken gefunden und gemeldet haben, Danke an alle, die an 5.3.1 beteiligt waren:

123host, acosmin, Adam Silverstein, Albert Juhé Lluveras, Alex Concha, Alex Mills, Anantajit JG, Anders Norén, andraganescu, Andrea Fercia, Andrew Duthie, Andrew Ozz, Andrey “Rarst” Savchenko, aravindajith, archon810, Ate Up With Motor, Ayesh Karunaratne, Birgir Erlendsson (birgire), Boga86, Boone Gorges, Carolina Nymark, Chetan Prajapati, Csaba (LittleBigThings), Dademaru, Daniel Bachhuber, Daniele Scasciafratte, Daniel Richards, David Baumwald, David Herrera, Dion hulse, ehtis, Ella van Durpe, epiqueras, Fabian, Felix Arntz, flaviozavan, Garrett Hyder, Glenn, Grzegorz (Greg) Ziółkowski, Grzegorz.Janoszka, Hareesh Pillai, Ian Belanger, ispreview, Jake Spurlock, James Huff, James Koster, Jarret, Jasper van der Meer, Jb Audras, jeichorn, Jer Clarke, Jeremy Felt, Jip Moors, Joe Hoyle, John James Jacoby, Jonathan Desrosiers, Jonny Harris, Joost de Valk, Jorge Costa, Joy, Juliette Reinders Folmer, justdaiv, Kelly Dwan, Kharis Sulistiyono, Kite, kyliesabra, lisota, lukaswaudentio, Maciej Mackowiak, marcelo2605, Marius L. J., Mat Lipe, mayanksonawat, Mel Choyce-Dwan, Michael Arestad, miette49, Miguel Fonseca, mihdan, Mike Auteri, Mikko Saari, Milan Petrovic, Mukesh Panchal, NextScripts, Nick Daugherty, Niels Lange, noyle, Ov3rfly, Paragon Initiative Enterprises, Paul Biron, Peter Wilson, Rachel Peter, Riad Benguella, Ricard Torres, Roland Murg, Ryan McCue, Ryan Welcher, SamuelFernandez, sathyapulse, Scott Taylor, scvleon, Sergey Biryukov, sergiomdgomes, SGr33n, simonjanin, smerriman, steevithak, Stephen Bernhardt, Stephen Edgar, Steve Dufresne, Subrata Mal, Sultan Nasir Uddin, Sybre Waaijer, Tammie Lister, Tanvirul Haque, Tellyworth, timon33, Timothy Jacobs, Timothée Brosille, tmatsuur, Tung Du, Veminom, vortfu, waleedt93, williampatton, wpgurudev und Zack Tollman.