11. Januar 2007

Wordpress 2.0.6 auch unsicher

Wer noch mit 2.0.5 bloggt ist sowieso nicht sicher, aber auch die aktuelle 2.0.6 Version scheint einen Bug zu haben, der SQL-Injection erlaubt. Zur Zeit wird auf der WordPress-Mailingliste eifrigst die Version 2.0.7 getestet und ist auch schon als RC1 herunterladbar (auf eigene Gefahr).

http://wordpress.org/beta/wordpress-2.0.7-RC1.zip

Changes:

1. worked around a PHP bug for PHP4 < 4.4.3 and PHP5 < 5.1.4 with register_globals ON
that could lead to SQL injection or other security breaches
2. Feeds should properly show 304 Not Modified headers (a.k.a. the FeedBurner bug)
instead of mismatched 200/304 headers
3. Backport of another 304 Not Modified fix from trunk (Etag mismatch on certain hosts would
cause 200 OK and content to always be served, a waste of bandwidth)
4. Deleting WP Pages no longer gives an "Are You Sure?" prompt
5. After deleting a WP Page, you are properly redirected to the Edit Pages screen
6. Sending an image at original size in IE no longer adds an incorrect "height" attribute

Also Ohren und Augen auf und ggf. schnell Updates einspielen bevor euch das gleich passiert wie StudiVZ in der vergangenen Nacht.

 

0 Kudos
 
  • http://www.punkrockzentrale.de jirjen?!

    Und mit 2.0.1? *g*

  • http://www.sebbi.de Sebbi

    Damit ist es ein Wunder, dass noch kein Skriptkiddie dein Blog gefunden hat ;-)

  • http://blog.xwolf.de xwolf

    Damit der Bug aber funktioniert, muss in der php.ini Register-Globals On sein.

    Aber wer das eingestellt hat, hat entweder eine ohnehin unsichere PHP-Version, hat ein anderes schllimmeres Programm als WordPress, welches diese Einstellung braucht oder aber ist von allen guten Geistern verlassen :))

  • http://www.punkrockzentrale.de jirjen?!

    Dann habe ich eben den Wundern vorgebeugt und wenigstens doch mal die 0.6 draufgepackt ;)

  • Pingback: Cappellmeister » Neue Wordpress Version 2.0.7

  • Pingback: Wordpress 2.0.7 » Sebbis Blog