173132

Sicherheits-Update für Wordpress

13.07.2009 | 16:09 Uhr |

Mit der neuen Version 2.8.1 haben die Entwickler der Blog-Software Wordpress zahlreiche Fehler beseitigt und eine Sicherheitslücke geschlossen. Die Schwachstelle erlaubt Unbefugten den Zugriff auf Konfigurationseinstellungen.

Ein Sicherheitsunternehmen hat eine Sicherheitslücke in Wordpress bis einschließlich Version 2.8 entdeckt. Die Entwickler der Blog-Software haben diese Schwachstelle inzwischen beseitigt und die neue Wordpress-Version 2.8.1 bereit gestellt. Darin haben sie auch gleich noch eine Reihe weiterer Fehler der Vorversion ausgeräumt, die jedoch nur zum Teil sicherheitsrelevant sind.

Das Sicherheitsunternehmen Core Security Technologies hat eine Sicherheitsmeldung veröffentlicht, in der es über eine Schwachstelle in Wordpress berichtet. Sie steckt in der Plugin-Schnittstelle "admin.php". Das Problem liegt darin, dass die Zugriffsrechte der Benutzer nicht in jedem Fall sorgfältig genug geprüft werden. So können privilegierte, angemeldete Benutzer die Konfigurationsseiten von Plugins aufrufen.

Sie können dadurch Informationen auslesen, die nicht für diese Benutzergruppe bestimmt sind. Schlimmer noch: ein solcher Benutzer könnte Javascript-Code einfügen, der beim Aufruf der Konfigurationsseite durch einen Administrator ausgeführt wird und verschiedene Konfigurationsoptionen manipulieren kann.

Die neue Wordpress-Version 2.8.1 behebt diesen Fehler sowie weitere, etwa mehrere XSS-Lücken (cross-site scripting) in Plugins. Die komplette Liste der Änderungen finden Sie auf der Wordpress-Website.

Download Wordpress

0 Kommentare zu diesem Artikel
173132