WordPress 2.8.5 Update stopft Sicherheitslücken

wordpress-logoVor dem großen Sprung auf WordPress 2.9 (soll Ende des Jahres erscheinen) haben sich die Entwickler der Blog-Software scheinbar dazu entschlossen, mit der Version 2.8.5 ein weiteres Update herauszugeben. So soll die Aktualisierung unter anderem eine Sicherheitslücke in der Trackback-Schnittstelle stopfen, über die ein DoS-Angriff auf die Installation gestartet werden kann. Diese Lücke wird von den Entwicklern allerdings als nicht sonderlich gefährlich eingestuft. Trotzdem wird Nutzern ein Update dringend empfohlen. Die deutsche Sprachversion wird wird voraussichtlich heute im Laufe des Tages verfügbar seinsteht ab sofort zum Download bereit.

Welche Probleme noch gefixt wurden?

The headline changes in this release are:

* A fix for the Trackback Denial-of-Service attack that is currently being seen.
* Removal of areas within the code where php code in variables was evaluated.
* Switched the file upload functionality to be whitelisted for all users including Admins.
* Retiring of the two importers of Tag data from old plugins.

Etwas seltsam finde ich die Beschränkung der Upload-Möglichkeiten für Admins. Demnach können sie nach dem Update aus Sicherheitsgründen nicht mehr ohne weiteres alle Dateitypen in der Mediathek hochladen. Für den normalen Nutzer gilt dieser „Schutz“ bereits seit längerer Zeit (Stichwort MIME-Type-Whitelist). Der Sinn erschließt sich mir jedoch nicht so ganz, da ich als Admin in der Regel sowieso alle Rechte im Blog habe und die Beschränkungen mit der Edit-Funktion deshalb leicht aufheben kann.

21. Oktober 2009 von Michael Friedrichs
Kategorien: Blogging, Wordpress | Schlagwörter: , , , | Kommentare deaktiviert für WordPress 2.8.5 Update stopft Sicherheitslücken