Eine kritische Sicherheitslücke bedroht derzeit viele Nutzer der kostenlosen Blog-Software WordPress. Laut eines
Fehlerberichts von Laurent Gaffié ist es Hackern möglich, Betreiber von der Nutzung ihres Blogs auszusperren - zumindest temporär. Betroffen seien alle Software-AUsgaben inklusive der aktuellen Version
WordPress 2.8.3.
Kein Einbruch möglich
Gaffié berichtet, dass es Angreifern derzeit möglich sei, die Passwörter von Blog-Administratoren zurückzusetzen. Das habe zur Folge, dass Admins keinen Zugriff mehr auf ihren Blog erhalten. Es ist aber offenbar nicht möglich, die Sicherheitslücke für einen System-Einbruch zu missbrauchen.
Auch wenn der Fehler von den WordPress-Entwicklern in einem
Changeset der Software bereits korrigiert wurde, steht noch kein WordPress-Update in Form von Version 2.8.4 zum Download zur Verfügung. Es wird aber in den nächsten Stunden erwartet.
Erfahrene Nutzer können im PHP-Modul wp-login.php die Zeile
if ( empty( ) ) durch
if ( empty( ) || is_array( ) ) ersetzen, um die Sicherheitslücke manuell zu beheben.
Update 12. August - Das Update ist da
Ab sofort steht
WordPress 2.8.4 in der englischsprachigen Version zum Download bereit. Die Version mit der deutschen Sprachdatei wurde noch nicht offiziell freigegeben, wird aber erfahrungsgemäß im Laufe der nächsten Stunden folgen und auf der
Homepage von
Wordpress Deutschland angeboten.
Hayo Lücke
Meldung empfehlen
News
