Sebbis Blog

WordPress 2.0.6 auch unsicher

Wer noch mit 2.0.5 bloggt ist sowieso nicht sicher, aber auch die aktuelle 2.0.6 Version scheint einen Bug zu haben, der SQL-Injection erlaubt. Zur Zeit wird auf der WordPress-Mailingliste eifrigst die Version 2.0.7 getestet und ist auch schon als RC1 herunterladbar (auf eigene Gefahr).

http://wordpress.org/beta/wordpress-2.0.7-RC1.zip

Changes:

1. worked around a PHP bug for PHP4 < 4.4.3 and PHP5 < 5.1.4 with register_globals ON that could lead to SQL injection or other security breaches 2. Feeds should properly show 304 Not Modified headers (a.k.a. the FeedBurner bug) instead of mismatched 200/304 headers 3. Backport of another 304 Not Modified fix from trunk (Etag mismatch on certain hosts would cause 200 OK and content to always be served, a waste of bandwidth) 4. Deleting WP Pages no longer gives an "Are You Sure?" prompt 5. After deleting a WP Page, you are properly redirected to the Edit Pages screen 6. Sending an image at original size in IE no longer adds an incorrect "height" attribute

Also Ohren und Augen auf und ggf. schnell Updates einspielen bevor euch das gleich passiert wie StudiVZ in der vergangenen Nacht.

Beitrag veröffentlicht

in

von

Sebbi

Schlagwörter:

, ,

Kommentare

6 Antworten zu „WordPress 2.0.6 auch unsicher“

  1. Avatar von jirjen?!
    jirjen?!

    Und mit 2.0.1? *g*

  2. Avatar von Sebbi
    Sebbi

    Damit ist es ein Wunder, dass noch kein Skriptkiddie dein Blog gefunden hat ;-)

  3. Avatar von xwolf
    xwolf

    Damit der Bug aber funktioniert, muss in der php.ini Register-Globals On sein.

    Aber wer das eingestellt hat, hat entweder eine ohnehin unsichere PHP-Version, hat ein anderes schllimmeres Programm als WordPress, welches diese Einstellung braucht oder aber ist von allen guten Geistern verlassen :))

  4. Avatar von jirjen?!
    jirjen?!

    Dann habe ich eben den Wundern vorgebeugt und wenigstens doch mal die 0.6 draufgepackt ;)

  5. Cappellmeister » Neue Wordpress Version 2.0.7

    […] Nach dem Update von letzter Woche auf 2.0.6 wegen eines Bugs – das dann aber dennoch geknackt werden konnte, kommt WordPress heute wieder in einer neuen Version. 2.0.7 kann hier heruntergeladen werden. […]

  6. Wordpress 2.0.7 » Sebbis Blog

    […] Hatte ja schon berichtet, dass es einen weiteren Bug in WordPress 2.0.6 gab. Jetzt gibt es auch das offizielle Update auf Version 2.0.7. Die Entwickler versichern weiterhin trotz der kommenden Version 2.1 alle 2.0 Versionen noch ein paar Jahre zu unterstützen. Prima! Aber ich habe 2.1 schon auf einem Testblog laufen und ich denke ich werde darauf umsteigen, enthält es doch ein paar nette Neuerungen. […]