WordPress 4.5.2 Update – Sicherheitsrelease

Veröffentlicht am 6 Mai 2016 um 21:18

Das WordPress Update 4.5.2 schließt ein paar Sicherheitslücken. Wir empfehlen auf jeden Fall das Update durchzuführen. Mehr Details im folgenden Text.

 

Release Notes

Die WordPress 4.5.2 Release Notes haben bereits darüber aufgeklärt, dass WordPress in den Versionen 4.5.1 und davor ein geringfügiges Sicherheitsproblem haben. Diese wurden vom Plupload Skript verursacht. Dieses Skript ist eine sog. „third-party“ Bibliothek, die von WordPress für das Hochladen von Dateien benötigt wird. WordPress ist zwischen den Versionen 4.2 und 4.5.1 durch eine XSS-Attacke verwundbar. Das System kann mittels einer speziell angefertigten URI durch MediaElement.js (eine weitere third-party Bibliothek, die von Mediaplayern benutzt wird) angegriffen werden.

Sowohl MediaElement.js als auch Plupload haben Updates herausgebracht, welche dieses Problem beheben.

Beide Problemen wurden analysiert und gemeldet von Mario Heiderich, Masato Kinugawa und Filedescriptor von Cure53. Da das Team verantwortungsvoll gearbeitet und mit investigativer Arbeit die Probleme offengelegt haben, haben die Teams von Plupload und MediaElement.js eng mit dem WordPress Team zusammengearbeitet und die Probleme behoben.

 

Liste der veränderten Dateien

/wp-includes/js/plupload/plupload.flash.swf
/wp-includes/js/mediaelement/flashmediaelement.swf
/wp-includes/js/mediaelement/mediaelement-and-player.min.js
/wp-includes/version.php
/wp-includes/script-loader.php
/readme.html
/wp-admin/about.php

 

Unsere Empfehlung

Wir empfehlen aufgrund der Sicherheitsthematik, auf jeden Fall das Update durchzuführen. Die Sicherheitslücken im Uploader und im Media Player werden damit problemlos geschlossen. Wie immer sollte vor einem Update ein vollständiges Systembackup durchgeführt werden.

Stichwörter: , , ,
Kategorisiert in: ,