Bugfixes für Wordpress

Die Entwickler des Blog-Systems Wordpress haben Version 2.0.7 veröffentlicht. Version 2.0.6 wird damit schon nach rund zehn Tagen abgelöst. Aus den Update-Notizen geht hervor, dass die wesentlichen Änderungen aus einem sicherheitsrelevanten Workaround für einen älteren PHP-Bug sowie der Behebung eines Fehlers in den RSS-Feeds bestehen, der sich in die Vorgängerversion eingeschlichen hatte. Insgesamt sind sechs Änderungen in die aktuelle Version eingeflossen.

Der PHP-Bug erlangte für das Blog-System nur eine besondere Bedeutung, weil ein jüngst dafür veröffentlichter Exploit speziell auf die Variablennamen und SQL-Ausdrücke von Wordpress zugeschnitten war. Obwohl dieser sowohl eine veraltete PHP-Version als auch register_globals = on voraussetzt, war er nach Angaben der Entwickler der Auslöser für die Veröffentlichung der neuen Version.

Der ebenfalls ausgemerzte RSS-Bug führt in der Vorgängerversion je nach verwendetem RSS-Reader und eingesetzter Serverplattform unter Umständen zu Fehlermeldungen beim Feed-Abruf. Die Entwickler weisen ausdrücklich darauf hin, dass es für ein Upgrade der Version 2.0.6 genüge, lediglich die sechs geänderten Dateien

• wp-admin/inline-uploading.php
• wp-admin/post.php
• wp-includes/classes.php
• wp-includes/functions.php
• wp-settings.php
• wp-includes/version.php

auszutauschen. Vom PHP-Bug dürften nur sehr wenige Betreiber eines Wordpress-Blogs betroffen sein. Trotzdem empfehlen die Wordpress-Programmierer allen Anwendern, das Update einzuspielen.

Siehe dazu auch:

• Wordpress 2.0.7, Release-Notes der Wordpress-Entwickler zur neuen Version
• Neuer Wordpress-Exploit betrifft auch Version 2.0.6, Meldung auf heise Security

(cr)