Kategorien
Wordpress

WordPress 2.0.6 auch unsicher

Wer noch mit 2.0.5 bloggt ist sowieso nicht sicher, aber auch die aktuelle 2.0.6 Version scheint einen Bug zu haben, der SQL-Injection erlaubt. Zur Zeit wird auf der WordPress-Mailingliste eifrigst die Version 2.0.7 getestet und ist auch schon als RC1 herunterladbar (auf eigene Gefahr).

http://wordpress.org/beta/wordpress-2.0.7-RC1.zip

Changes:

1. worked around a PHP bug for PHP4 < 4.4.3 and PHP5 < 5.1.4 with register_globals ON that could lead to SQL injection or other security breaches 2. Feeds should properly show 304 Not Modified headers (a.k.a. the FeedBurner bug) instead of mismatched 200/304 headers 3. Backport of another 304 Not Modified fix from trunk (Etag mismatch on certain hosts would cause 200 OK and content to always be served, a waste of bandwidth) 4. Deleting WP Pages no longer gives an "Are You Sure?" prompt 5. After deleting a WP Page, you are properly redirected to the Edit Pages screen 6. Sending an image at original size in IE no longer adds an incorrect "height" attribute

Also Ohren und Augen auf und ggf. schnell Updates einspielen bevor euch das gleich passiert wie StudiVZ in der vergangenen Nacht.

6 Antworten auf „WordPress 2.0.6 auch unsicher“

Damit der Bug aber funktioniert, muss in der php.ini Register-Globals On sein.

Aber wer das eingestellt hat, hat entweder eine ohnehin unsichere PHP-Version, hat ein anderes schllimmeres Programm als WordPress, welches diese Einstellung braucht oder aber ist von allen guten Geistern verlassen :))

[…] Hatte ja schon berichtet, dass es einen weiteren Bug in WordPress 2.0.6 gab. Jetzt gibt es auch das offizielle Update auf Version 2.0.7. Die Entwickler versichern weiterhin trotz der kommenden Version 2.1 alle 2.0 Versionen noch ein paar Jahre zu unterstützen. Prima! Aber ich habe 2.1 schon auf einem Testblog laufen und ich denke ich werde darauf umsteigen, enthält es doch ein paar nette Neuerungen. […]

Kommentare sind geschlossen.