WordPress-Update für mehr Sicherheit
Version 2.0.5 behebt auch Schwachstellen, über die Angreifer mit Zugang zum Blog-System unter Umständen an Nutzerinformationen gelangen oder den Server vollständig lahmlegen können.
- Christiane Rütten
In der neuen WordPress-Version 2.0.5 haben die Entwickler auch sicherheitsrelevante Schwachstellen beseitigt. Eine Korrektur für die Nutzerverwaltung in user-edit.php verhindert, dass nicht privilegierte WordPress-Nutzer die persönlichen Daten anderer Accounts auslesen können. Im Datenbank-Backup-Plug-in wp-db-backup.php sind Überprüfungen für eingegebene Dateinamen hinzugekommen, etwa um unerlaubte Dateizugriffe außerhalb der vorgesehenen Verzeichnisse zu verhindern.
Außerdem wurden lesende Datenbankzugriffe unter anderem in dem Skript options.php gegen so genannte Unserialize-Angriffe abgesichert, mit denen ein Angreifer den kompletten Server lahmlegen konnte. In älteren Versionen war es WordPress-Usern unter Umständen möglich, Zeichenketten in die Datenbank schreiben zu lassen, die beim Auslesen ungefiltert an die PHP-Funktion unserialize() übergeben wurden. Dadurch lassen sich beispielsweise mit Hilfe kurzer Zeichenketten große Mengen Speicherplatz aufbrauchen, was letztlich zu Abstürzen führen kann.
Insgesamt sind in WordPress 2.0.5 mehr als 50 Korrekturen eingeflossen. Wegen der enthaltenen Security-Fixes empfehlen die Entwickler allen WordPress-Administratoren, auf die neue Version zu aktualisieren.
Siehe dazu auch: (cr)
- Hinweise der Entwickler zur Version 2.0.5 auf der WordPress-Homepage
