Mit WordPress 2.9.2 gibt es wiedereinmal ein Sicherheitsupdate. Die Lücke betrifft den mit 2.9 eingeführten Papierkorb und erlaubt es angemeldeten Benutzen die Artikel aller im Papierkorb (aufgrund einer fehlenden Sicherheitsprüfung) zu betrachten. Die weiteren Änderungen findet ihr im Changelog.

Was mich so ein bischen wundert, warum wurde der Patch solange verzögert? Laut Ticket wurde der Fehler von mehr als 2 Wochen behoben… und die anderen Änderungen scheinen auch nicht so dramatisch zu sein, als das sie ein hinauszögern erklären dürften… Ich hoffe das ist keine Reaktion auf die Beschwerden, dass die Updatehäufigkeit teilweise als zu hoch eingeschätzt wurde…

Wie auch immer, wer Benutzer in seinem Blog zulässt und den Papierkorb nutzt, der sollte schleunigst das Update durchführen (und wie immer nicht vergessen vorher ein Backup anzufertigen).

Zur Gestern bekannt gewordenen Sicherheitslücke bzgl. der Möglichkeit des Zurücksetzens des Adminpasswortes gibt es nun ein Sicherheitsupdate (golem.de), das unbedingt eingespielt werden sollte (insbesondere, da die „erste Lösung“ wohl keinen wirklichen Schutz bietet).

Aktuell steht nur die US-Version zur Verfügung, sollte aber kein wirkliches Problem darstellen, da sich am Sprachfile nicht allzuviel geändert haben sollte und die Sicherheit einfach vorgeht. Was mich noch so ein bischen wundert, kein Ticket zum Milestone 2.8.4 ist bisher als erledigt markiert, hoffen wir einfach mal, das es nicht schon wieder ein Schnellschuss war. Zur Beruhigung kann ich allerdings sagen, das wp-login.php einigen Änderungen unterzogen wurde ;)

Gerade musste ich bei heise.de lesen, das in den aktuellen Versionen von WordPress (<= 2.8.3) das Ausperren des Admins durch einen Fehler in der Datei wp-login.php möglich ist. Es ist damit nicht möglich, sich Zugang zum Adminbereich (oder dergleichen) zu verschaffen. Im Entwicklungszweig wurde das Problem behoben und zwar durch einen einfachen „Trick“. In wp-login.php muss nur diese Zeile:
if ( empty( $key ) )

durch diese ersetzt werden:

if ( empty( $key ) || is_array( $key ) )

Wer allerdings schon ausgesperrt ist, dem sollten folgende Links helfen können: Resetting Your Passwort bzw. im speziellen Emergency Passwort Reset Script.

Nachtrag: Wie ich gerade noch bei Caschy gelesen habe, scheint es wohl auszureichen, sich als Admin einfach ein neues Passwort zusenden zu lassen. Weiterhin verweist er noch auf einen älteren Beitrag von sich, zur Absicherung von WordPress (Zugriffbeschränkungen via .htaccess).

Nachtrag 2: Nun hat auch Golem.de eine entsprechende Meldung veröffentlicht und es scheint so, als würde die Lücke schon recht lange bestehen (zumindest die Codezeile hatte ich auch in Versionen vor 2.8.0 entdeckt, mir allerdings den Rest nicht genauer angeschaut).

Nachtrag 3: Im Developerzweig gibt es einen neue Korrektur der Lücke: 11804.

Etwas überraschend musste ich in meinem Feedreader gerade Meldungen zu einem Update zu WordPress lesen (hatte eigentlich bis zum Release von 2.7 keine Updates erwartet). Geschlossen wurde eine XSS-Lücke in Zusammenhang mit IP-basierenden virtuellen Hosts, sowie 3 Bugs beseitigt. Genaueres findet man im offiziellen Blog. Das Update hier im Blog verlief völlig problemlos…