13.09.2007 11:48
WordPress 2.2.3 schließt Sicherheitslücken
Die Entwickler des quelloffenen Blog-Systems WordPress haben die Version 2.2.3 der Software veröffentlicht und schließen darin zwei Sicherheitslücken. Angreifer können in vorhergehenden Versionen aus dem Netz über die XMLRPC-Schnittstelle durch das Übergeben von präparierten URLs SQL-Kommandos einschleusen und dadurch etwa an Zugangsdaten von Benutzern gelangen. Eine weitere Schwachstelle ermöglichte Angreifern, die eigentlich nur gefiltertes HTML absetzen dürfen, beliebigen HTML-Code in einem Beitrag mittels manipulierter HTTP-POST-Anfragen einzustellen.
Die weiteren Änderungen, die die Entwickler im Changelog zusammengetragen haben, beheben kleinere Fehler. Die Entwickler empfehlen Wordpress-Nutzern, auf die neue Version zu aktualisieren. Sie steht auf den Seiten des Projekts zum Download bereit.
Siehe dazu auch:
- Remote SQL Injection in WordPress and WordPress MU, Sicherheitsmeldung von Alexander Concha
- Users without unfiltered_html capability can post arbitrary html, Eintrag in der WordPress-Fehlerdatenbank
- Liste der behobenen Fehler in WordPress 2.2.3
- Download der aktuellen WordPress-Version
(dmk)
Unsere Entdeckung, dass via Skype verschickte URLs von Microsoft besucht werden, hat für einigen Aufruhr gesorgt. Mittlerweile liegen etwas mehr Informationen dazu auf dem Tisch. 
Die aktuelle BKA-Trojaner sperrt nicht nur den Rechner, sondern legt auch Bilder mit Kinderpornografie auf dem System ab. Mit Desinfec't kann man diesen Unrat aufspüren und beseitigen. 
Der Krypto-Experte Karsten Nohl kritisiert die Absenkung des Schutzniveaus für Steuer-, Sozial- und Gerichtsdaten im Rahmen der gesetzlichen Anpassungen für De-Mail. 
Ganze zwölf Sicherheitslücken soll die neue Quicktime-Version für Windows beseitigen - allesamt kritischer Natur. 
Wer verhindern will, dass Nutzer auf fremde Kalender zugreifen oder eigenen PHP-Code in den Server einschleusen, sollte baldmöglichst auf eine der aktuellen Versionen umsteigen. 
