Home // Wordpress // WordPress 2.2.1 Update

WordPress 2.2.1 Update

image_pdfimage_print

Ich habe WordPress soeben auf Version 2.2.1 geupdated. Nebst der Behebung diverser kleiner Schönheitsfehler welche einen Update nicht unbedingt gerechtfertigt hätten, sind mit diesem Update jedoch auch einige Sicherheitsrelevante Bugs behoben worden.

  • Remote shell injection in PHPMailer – WordPress verwendet für den Mailversand die frei verfügbare Klasse PHPMailer. Im Gegensatz zur Standard Funktion mail() besitzt diese Klasse unter anderem die Fähigkeit HTML Mails oder Attachments zu versenden. PHPMailer wird von unterschiedlichen Projekten wie etwa WordPress, Mantis, WebCalendar, Group-Office oder Joomla verwendet und hat letztmals im Juli 2005 einen Update erfahren. In PHPMailer wurde nun ein Fehler gefunden, welcher es einem Angreifer ermöglicht auf dem Rechner, auf welchem das Programm läuft, Befehle auszuführen. Der Fehler basiert auf einer ungenügenden Eingabevalidierung.
  • Remote SQL injection in XML-RPC – Eine SQL-Injection Lücke in WordPress ermöglicht einem Angreifer den Zugriff auf die zugrunde liegende Datenbank. Dadurch wird es möglich eigene Befehle an die Datenbank zu senden um diese z.B. zu löschen oder manipulieren.
  • Unescaped attribute in default theme – Eine Cross-Site Scripting Lücke im Standard Thema von WordPress kann von einem Angreifer unter Umständen zum ausspähen von vertraulichen Daten missbraucht werden. Alle Themes (auch selbst gemachte) welche auf Kubrick basieren sind gefärdet. Nachfolgender Link zeigt auf, wie man die Lücke im eigenen Theme schliesst.

Das Deutsche WordPress Team hat bereits einen Update hochgeladen.

Posted in Wordpress and tagged as

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.