Neues WordPress verfügbar – Sicherheitspatch!!

Ich erlaube mir einfach mal stumpf den Text von WordPress-Developer-Blog zu kopieren:

WordPress 2.6.5 is immediately available and fixes one security problem and three bugs. We recommend everyone upgrade to this release.

The security issue is an XSS exploit discovered by Jeremias Reith that fortunately only affects IP-based virtual servers running on Apache 2.x. If you are interested only in the security fix, copy wp-includes/feed.php and wp-includes/version.php from the 2.6.5 release package.

2.6.5 contains three other small fixes in addition to the XSS fix. The first prevents accidentally saving post meta information to a revision. The second prevents XML-RPC from fetching incorrect post types. The third adds some user ID sanitization during bulk delete requests. For a list of changed files, consult the full changeset between 2.6.3 and 2.6.5.

Note that we are skipping version 2.6.4 and jumping from 2.6.3 to 2.6.5 to avoid confusion with a fake 2.6.4 release that made the rounds. There is not and never will be a version 2.6.4.

Nachtrag: Nun ist das Update auch auf dem deutschen WordPressblog veröffentlicht:

Soeben wurde WordPress 2.6.5 veröffentlicht. Diese Version ist ein Sicherheitsrelease (Details) und behebt einen schwerwiegenden XSS-Exploit, desweiteren wurden einige kleinere Probleme behoben.

Es gibt einen Versionssprung von 2.6.3 auf 2.6.5, da eine gefakte 2.6.4 Version im Umlauf war. Eine Version 2.6.4 wurde niemals veröffentlicht.

Wir raten allen 2.6.3 Nutzern dringend zu einer Aktualisierung auf die neue Version. Wir haben ein Upgradepaket für 2.6.3 auf 2.6.5 zusammengestellt. Das Upgradepaket beinhaltet alle geänderten Dateien zu der Vorgängerversion 2.6.3 und kann für ein Upgrade der offiziellen- und der DE-Edition benutzt werden.

Upgradepaket für 2.6.3 auf 2.6.5

Die DE-Edition liegt ebenfalls in der aktuellen Version bereit. In der DE-Edition ist die überarbeitete Sprachdatei und das übersetzte Standardtheme (default_de) enthalten. Zwischen 2.6.3 und 2.6.5 gibt es einige kleinere Änderungen an der Sprachdatei.

Download WordPress 2.6.5 DE-Edition

Sprachdatei für WordPress 2.6.5 (Du & Sie)
übersetztes Standardtheme (default_de)

Die offizielle englischsprachige Version 2.6.5 kann im Downloadbereich runtergeladen werden.

Vor einem Upgrade unbedingt ein vollständiges Backup aller Dateien und der Datenbank anlegen!

Aus dem Maschinenraum

Ich habe gerade mal wieder ein „neues“ Statistiktool installiert, nämlich StatPress Reloaded. Ausgelöst wurde dies durch meine Feststellung, dass ich derzeit deutlich mehr paralle User auf dem System habe, als „normal“ ist. Und dieses ohne von massiven Nutzerzuwachs durch externe Referenzierung. Nix Heise, Telepolis, Lawblog oder ähnliches, einfach „nur so“. Söltsam das. Jetzt in diesem Moment tummeln sich 28 User auf meinem System. Ist zwar nett, aber woher kommen die? Meine bisherigen Tools waren nicht sooo komfortabel, also musste sich etwas ändern.

Herausgefunden habe ich, dass wohl Munax AB (aus Schweden) derzeit irgendwie ein wenig rumpunikt.

Ein netter Nebeneffekt den Statpress bietet ist, dass auf der Mainpage (also dem Teil des Blogs, den IHR seht..) nun auch Statistiken über die Zugriffszahl des aktuellen Tages, sowie der Topzugriffe angezeigt werden. WENN es euch denn interessiert 🙂

WordPress – Sicherheitslücke entdeckt und schon geschlossen

Das WordPress 2.6.3 Sicherheitsrelease ist ab sofort verfügbar. Ich kopiere einfach mal stumpf vom „WordPress Deutschland Blog„. Die Kollegen dort mögen wir verzeiehn, in angesicht der Sachlage… 🙂

Eben kam die Meldung, dass es eine neues Sicherheitsrelease für WordPress gibt. Geändert wurden 2 Dateien:

Die Sicherheitslücke wurde in der Bibliothek Snoopy gefunden. Diese Library wird im Bereich des Dashboard genutzt um externe Inhalte zu nutzen.

Ein Update wird dringend empfohlen, da die Sicherheitslücke Zugriffe auf den RootServer zulässt.

Die geänderte deutschsprachige Version, sowie ein Upgradepaket kann hier heruntergeladen werden:

Download WordPress 2.6.3 DE-Edition
Upgradepaket für 2.6.2 auf 2.6.3

Die offizielle englischsprachige Version 2.6.3 kann im Downloadbereich runtergeladen werden.