WordPress 5.8.1 Sicherheits- und Wartungs-Release

Am 9. September wurde WordPress 5.8.1 veröffentlicht. Dabei handelt es sich um einen Sicherheits- und Wartungs-Release, der drei Sicherheitslücken schließt und 60 Bugs behebt. Da es ein Sicherheits-Release ist, solltet ihr eure Websites unverzüglich aktualisieren. Für alle Versionszweige seit WordPress 5.4 gibt es ebenfalls Updates.

Bei WordPress 5.8.1 handelt es sich um ein kurz-zyklisches Release, der nächste Major-Release wird WordPress 5.9.

Ihr könnt WordPress 5.8.1 von WordPress.org herunterladen oder das Update einer bestehenden Site über DashboardAktualisierungen ausführen. Wenn eure Website automatische Hintergrund-Updates unterstützt, könnte die neue Version bereits installiert sein.

Sicherheits-Updates

Drei Sicherheitslücken betreffen WordPress-Versionen zwischen 5.4 und 5.8. Neben WordPress 5.8.1 wurden auch für die anderen Release-Zweige ab WordPress 5.4 neue Versionen veröffentlicht, die die Sicherheitslücken schließen.

Die folgenden Probleme wurden behoben:

  • Eine »data exposure vulnerability« in der REST-API, vielen Dank an @mdawaffe vom WordPress-Security-Team für das Fixen der Lücke.
  • XSS-Schwachstelle im Block-Editor, vielen Dank an Michał Bentkowski von Securitum für das Melden der Sicherheitslücke.
  • Die Lodash-Bibliothek wurde auf Version 4.17.21 aktualisiert um darin enthaltene Sicherheits-Fixes zu übernehmen.

Zusätzlich möchte das Security-Team den folgenden Personen für das Melden von Sicherheitslücken in der WordPress-5.8-Beta-Phase danken, sodass sie vor dem Release behoben werden konnten:

  • Evan Ricafort hat eine XSS-Lücke im Block-Editor gemeldet.
  • Steve Henty hat ein Privilege-Escalation-Problem im Block-Editor gemeldet.

Danke an alle Meldenden für das vertrauliche Melden der Lücken. Das hat dem Security-Team Zeit gegeben, die Probleme zu beheben, bevor WordPress-Sites angegriffen werden konnten.

Mehr Informationen zu den Änderungen in WordPress 5.8.1 gibt es in der Liste mit allen Änderungen im Trac oder auf der Doku-Seite zu 5.8.1.

Danke

Der 5.8.1-Release wurde von Jonathan Desrosiers und Evan Mullins geleitet.

Zusätzlich zu den Security-Researchern und den beiden genannten Release-Leads haben die folgenden Entwicklerinnen und Entwickler dabei geholfen, WordPress 5.8.1 möglich zu machen:

2linctools, Adam Zielinski, Alain Schlesser, Alex Lende, alexstine, AlGala, André, Andrei Draganescu, Andrew Ozz, Ankit Panchal, Anthony Burchell, Anton Vlasenko, Ari Stathopoulos, Bruno Ribaric, Carolina Nymark, Daisy Olsen, Daniel Richards, Daria, David Anderson, David Biňovec, David Herrera, Dominik Schilling, Ella van Durpe, Enchiridion, Evan Mullins, Gary Jones, George Mamadashvili, Greg Ziółkowski, Héctor Prieto, ianmjones, Jb Audras, Jeff Bowen, Joe Dolson, Joen A., John Blackbourn, Jonathan Desrosiers, JuanMa Garrido, Juliette Reinders Folmer, Kai Hao, Kapil Paul, Kerry Liu, Kevin Fodness, Marcus Kazmierczak, Mark-k, Matt, Michael Adams (mdawaffe), Mike Schroder, moch11, Mukesh Panchal, Nik Tsekouras, Paal Joachim Romdahl, Pascal Birchler, Paul Bearne, Paul Biron, Peter Wilson, Petter Walbø Johnsgård, Radixweb, Rahul Mehta, ramonopoly, ravipatel, Riad Benguella, Robert Anderson, Rodrigo Arias, Sanket Chodavadiya, Sergey Biryukov, Stephen Bernhardt, Stephen Edgar, Steve Henty, terraling, Timothy Jacobs, tmatsuur, TobiasBg, Tonya Mork, Toro_Unit (Hiroshi Urabe), Vlad T, wb1234 und WFMattR.