11. Januar 2007 · 6 Kommentare

WordPress 2.0.6 auch unsicher

Wer noch mit 2.0.5 bloggt ist sowieso nicht sicher, aber auch die aktuelle 2.0.6 Version scheint einen Bug zu haben, der SQL-Injection erlaubt. Zur Zeit wird auf der WordPress-Mailingliste eifrigst die Version 2.0.7 getestet und ist auch schon als RC1 herunterladbar (auf eigene Gefahr).

http://wordpress.org/beta/wordpress-2.0.7-RC1.zip

Changes:

1. worked around a PHP bug for PHP4 < 4.4.3 and PHP5 < 5.1.4 with register_globals ON
that could lead to SQL injection or other security breaches
2. Feeds should properly show 304 Not Modified headers (a.k.a. the FeedBurner bug)
instead of mismatched 200/304 headers
3. Backport of another 304 Not Modified fix from trunk (Etag mismatch on certain hosts would
cause 200 OK and content to always be served, a waste of bandwidth)
4. Deleting WP Pages no longer gives an "Are You Sure?" prompt
5. After deleting a WP Page, you are properly redirected to the Edit Pages screen
6. Sending an image at original size in IE no longer adds an incorrect "height" attribute

Also Ohren und Augen auf und ggf. schnell Updates einspielen bevor euch das gleich passiert wie StudiVZ in der vergangenen Nacht.

Tags:

6 Responses to “WordPress 2.0.6 auch unsicher”

  1. jirjen?! 11 Januar 2007 at 16:30 Permalink

    Und mit 2.0.1? *g*

    Antworten
  2. Sebbi 11 Januar 2007 at 20:22 Permalink

    Damit ist es ein Wunder, dass noch kein Skriptkiddie dein Blog gefunden hat ;-)

    Antworten
  3. xwolf 11 Januar 2007 at 23:13 Permalink

    Damit der Bug aber funktioniert, muss in der php.ini Register-Globals On sein.

    Aber wer das eingestellt hat, hat entweder eine ohnehin unsichere PHP-Version, hat ein anderes schllimmeres Programm als WordPress, welches diese Einstellung braucht oder aber ist von allen guten Geistern verlassen :))

    Antworten
  4. jirjen?! 12 Januar 2007 at 18:50 Permalink

    Dann habe ich eben den Wundern vorgebeugt und wenigstens doch mal die 0.6 draufgepackt ;)

    Antworten