Update behebt Remote Code Execution in WordPress
Hallo ihr WordPress Admins dort draußen! Heute sollte Euer erster Weg ins WordPress-Backend führen! Dort solltet ihr dann möglichst schnell das WordPress Update auf 3.6.1 einspielen. Dieses behebt einige Sicherheitsprobleme bei der aktuellen WordPress 3.6.0 Installation, auf der unter Umständen sogar Remote Code ausgeführt werden kann. Auch soll es durch einen Bug möglich sein, das Beiträge unter einem falschen Namen online gestellt werden! Allerdings muss dieser auch über Autor Rechte verfügen.
Zusätzlich zu diesen Sicherheitslöchern wird noch die Möglichkeit zur Link Injection beseitigt und die Upload-Rechte beschnitten. Ab jetzt kann keiner mehr im WordPress-Auslieferungszustand z.B. nach einer Neuinstallation *.exe, *.swf oder HTML Files hoch laden. Werden diese Filetypen benötigt, müssen diese per Hand aktiviert werden.
So, nun ab in Eure WordPress-Installation und Upate machen –> das Backup zuvor nicht vergessen! ;)
Quelle: WordPress
Hi,
ich habe mir auch die Mühe gemacht und aktualisierte auf die neue Version des WordPress. Das Update ging rasch vonstatten und natürlich vergass ich nicht, das BackUp der Datenbank anzufertigen. Jetzt ist alles wieder im grünen Bereich und es macht wieder Spass, mit WP zu werkeln.