Sicherheits-Updates für WordPress und Plone
Die Updates beseitigen Schwachstellen, mit denen Anwender an höhere Rechte gelangen können. Bei Plone droht sogar Gefahr durch Angreifer ohne gültiges Konto.
- Daniel Bachfeld
Für die Content-Management-Systeme WordPress und Plone sind Sicherheits-Updates erschienen, um Schwachstellen zu beseitigen. WordPress 3.0.5 nimmt Anwendern mit Contributor- oder Autoren-Rechten zwei Möglichkeiten, unberechtigt ihre Zugriffsrechte auf dem System auszuweiten.
Daneben wurde auch ein Fehler korrgiert, mit dem sich Inhalte von Meldungen anzeigen ließen, die für bestimmte Anwendergruppen nicht hätten einsehbar sein sollen. Zudem gab es funktionale Sicherheitsverbessserungen, etwa bei Plug-ins, die nicht die WordPress-API wie angedacht benutzen.
Durch eine Lücke in Plone 2.5, 3.0, 3.1, 3.2, 3.3 und 4.0 können Angreifer ohne gültiges Benutzerkonto an Administratorrechte gelangen. Nach Angaben der Entwickler ist damit jedoch kein Zugriff auf das zugrunde liegende Zope-System oder weitere, parallel laufende Anwendungen möglich.
Ein Hotfix schließt die Lücke. Anwender sollten ihn so schnell wie möglich installieren. Alternativ schlagen die Entwickler vor, Logins zu deaktivieren oder zu blockieren oder die Datenbank auf "nur lesbar" umzustellen. (dab)
