bla

WordPress-Anwender|innen anwesend?

Donnerstag, 12.1.2017, 08:09 > da]v[ax

Deine Website ist mit WordPress zusammengebastelt? Dann mal schnell updaten!

  1. Remote code execution (RCE) in PHPMailer – No specific issue appears to affect WordPress or any of the major plugins we investigated but, out of an abundance of caution, we updated PHPMailer in this release. This issue was reported to PHPMailer by Dawid Golunski and Paul Buonopane.
  2. The REST API exposed user data for all users who had authored a post of a public post type. WordPress 4.7.1 limits this to only post types which have specified that they should be shown within the REST API. Reported by Krogsgard and Chris Jean.
  3. Cross-site scripting (XSS) via the plugin name or version header on update-core.php. Reported by Dominik Schilling of the WordPress Security Team.
  4. Cross-site request forgery (CSRF) bypass via uploading a Flash file. Reported by Abdullah Hussam.
  5. Cross-site scripting (XSS) via theme name fallback. Reported by Mehmet Ince.
  6. Post via email checks mail.example.com if default settings aren’t changed. Reported by John Blackbourn of the WordPress Security Team.
  7. A cross-site request forgery (CSRF) was discovered in the accessibility mode of widget editing. Reported by Ronnie Skansing.
  8. Weak cryptographic security for multisite activation key. Reported by Jack.

Und das sind nur die Sicherheitsprobleme. Dazu wurden noch 62 Fehler gefixt. Oh oh.

7 Meinungen zu “WordPress-Anwender|innen anwesend?”

  1. struppi meinte:

    Das passiert doch (mittlerweile) automatisch.

    Aber das sind keine besonders schlimmen Sachen für eine 08/15 WP Seite. Welche Gefahren siehst du da?

  2. da]v[ax meinte:

    @struppi: also mir reicht schon der Spruch "The REST API exposed user data for all users who had authored a post of a public post type." :-|

    und 3 Cross-Site-Probleme. Naja, sicher noch so schlimm wie ein Atomkraftwerkhack, aber gut halt auch nicht.

  3. struppi meinte:

    Naja, XSS Lücken sind ja nur eine Gefahr, wenn auf deiner Seite eingeloggte User verkehren und dadurch deren Loginstatus oder auch Daten abgegriffen werden könnte. Tun sie aber nicht.

    Und das Rest API ist doch ein Plugin, ist das bei dir installiert? Ich hab keine Installation wo das drauf ist.

    So wie ich das überblicke betreffen die Meldungen im Grunde nur spezielle Themes und Plugins oder Szenarien, die bei einer WP Installation kaum vorkommen.

  4. da]v[ax meinte:

    @struppi: jaaaaa aaaaber, ich verblogge das hier ja nicht nur für mich, sondern eben auch für meine 3 Leser. Vin denen hat ja vielleicht jemand Interesse daran ;)

  5. struppi meinte:

    Schon klar. Aber wie gesagt, WP sollte doch automatisch geupdated werden, bei dir nicht?
    Ich hatte vorgestern vier Mails WP bekommen, dass eine neue Version installiert wurde.

    Und das WP auch schon Einfallstore hatte sollte bekannt sein (wer seinen Blog nicht auf automatische updates gestellt hat, müsste eigentlich mit 99% Wahrscheinlichkeit schon mal Opfer geworden sein - ich war es schon). Aber Grund zur Panikmache gibt es hier nicht (es sei denn, man hat eine WP Installation die die genannten Plugins nutzt und/oder Benutzerkonten.)

  6. da]v[ax meinte:

    @struppi: nee, ich update mein eigenes Blog lieber selbst. Die anderen Sites werden aber schon automatisch aktualisiert...

  7. struppi meinte:

    Ach so.

    Seit ein selten "genutzer" WP-Blog von mir gehackt wurde, hab ich alles auf automatisch gestellt. Ich sehe keinen Vorteil das nicht zu tun, zumal du ja auch eine Nachricht bekommst wenn ein update eingespielt wurde. Wenn du gehackt wurdest nicht (bzw. erst später vom Hoster oder so).

Antworten

Dein Kommentar

Das Kleingedruckte:
Halte Dich bitte an die Spielregeln. Welche Emoticons du verwenden kannst, steht hier. Kommentarabonnements werden automatisch nach 3 Monaten gelöscht.
 
 Wer HTML kann, ist klar im Vorteil. Diese Tags sind erlaubt:
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>
 
 Bei der Menge an Spam-Kommentaren passiert es hin und wieder, dass ein Kommentar vom Spamfilter gefressen wird. Bitte sei mir nicht böse aber ich habe weder Zeit noch Lust, solch verloren gegangenen Kommentaren hinterher zu forschen. Wenn das öfters passiert, schreib' mir 'ne Mail damit ich dich whitelisten kann.

OOPS!

Es sieht so aus, als hättest du keinen Werbeblocker installiert. Das ist schlecht für dein Gehirn und manchmal auch für deinen Computer.

Bitte besuche eine der folgenden Seiten und installiere dir einen AdBlocker deiner Wahl, danach kannst du todamax wieder ohne Einschränkungen genießen.


uBlock Origin: für Chrome | Firefox | Safari

AdGuard: für Chrome | Firefox | Safari | Opera | Yandex

AdBlock Plus: für Chrome | Firefox | Safari | Opera | Internet Explorer

uMatrix: für Firefox | Chrome | Opera

Ey, lass mich einfach rein, okay?
(Setzt per Javascript einen Cookie. Wenn Du das alles deaktiviert hast, weiß ich auch nicht, wie ich dir helfen soll)

Ich will das hier nie wieder sehen.
(Setzt per Javascript einen sehr langlebigen Cookie. Wenn Du das alles deaktiviert hast oder Cookies automatisch oder auch von Hand löschst, weiß ich auch nicht, wie ich dir helfen soll)

Ihr Browser versucht gerade eine Seite aus dem sogenannten Internet auszudrucken. Das Internet ist ein weltweites Netzwerk von Computern, das den Menschen ganz neue Möglichkeiten der Kommunikation bietet.

Da Politiker im Regelfall von neuen Dingen nichts verstehen, halten wir es für notwendig, sie davor zu schützen. Dies ist im beidseitigen Interesse, da unnötige Angstzustände bei ihnen verhindert werden, ebenso wie es uns vor profilierungs- und machtsüchtigen Politikern schützt.

Sollten Sie der Meinung sein, dass Sie diese Internetseite dennoch sehen sollten, so können Sie jederzeit durch normalen Gebrauch eines Internetbrowsers darauf zugreifen. Dazu sind aber minimale Computerkenntnisse erforderlich. Sollten Sie diese nicht haben, vergessen Sie einfach dieses Internet und lassen uns in Ruhe.

Die Umgehung dieser Ausdrucksperre ist nach §95a UrhG verboten.

Mehr Informationen unter www.politiker-stopp.de.