Authentifizierungslücke wird bei WordPress geschlossen

Mal wieder ein neues Update!

Mit dem Update auf Version 3.8.2 und 3.7.2 schließen die Macher der Blogsoftware mehrere Sicherheitslücken. Eine davon wird als wichtig eingeschätzt und erlaubt das Umgehen der Anmeldung.

Die Entwickler der quelloffenen Blogsoftware WordPress haben ein Sicherheitsupdate veröffentlicht, das eine als wichtig eingestufte Lücke schließt und weitere Probleme behebt. Die Entwickler empfehlen allen Administratoren so schnell wie möglich auf WordPress 3.8.2 oder 3.7.2 zu aktualisieren. WordPress-Seiten, die automatische Sicherheitsupdates aktiviert haben, sollten das Update bereits installiert haben.

Angreifer können die jetzt geschlossene Lücke (CVE-2014-0166) ausnutzen, um gefälschte Session-Cookies zu erstellen und damit Zugang zum Administrationsinterface zu erhalten. Die Lücke wurde vom WordPress-Team selbst entdeckt und geschlossen. Weitere Änderungen verhindern es, dass angemeldete Nutzer Posts veröffentlichen können, obwohl sie eigentlich nicht die Rechte dafür besitzen. Außerdem wurde die Verarbeitung von Pingbacks geändert, wohl eine Reaktion auf das DDoS-Problem mit der Pingback-Funktion, welches vor kurzem einige öffentliche Aufmerksamkeit erregt hatte.

Eine SQL-Injection-Schwachstelle und ein Problem mit Cross Domain Scripting in der Plupload-Bibliothek wurden ebenfalls behoben. Der Datei-Uploader wird getrennt von WordPress entwickelt, liegt dem Content Management System aber standardmäßig bei.

Kunden von Feiner Design ohne jährlichen Wartungsvertrag wird dringend angeraten diseses Update durch führen zu lassen. Und auch wenn Sie nicht Kunde bei Feiner Design sind, gerne können Sie sich hier Informieren.

Originaltext übernommen von heise.de

 

Schreibe einen Kommentar

Your email address will not be published.