Remote code execution (RCE) in PHPMailer – No specific issue appears to affect WordPress or any of the major plugins we investigated but, out of an abundance of caution, we updated PHPMailer in this release. This issue was reported to PHPMailer by Dawid Golunski and Paul Buonopane.
The REST API exposed user data for all users who had authored a post of a public post type. WordPress 4.7.1 limits this to only post types which have specified that they should be shown within the REST API. Reported by Krogsgard and Chris Jean.
Cross-site scripting (XSS) via the plugin name or version header on update-core.php. Reported by Dominik Schilling of the WordPress Security Team.
Cross-site request forgery (CSRF) bypass via uploading a Flash file. Reported by Abdullah Hussam.
Cross-site scripting (XSS) via theme name fallback. Reported by Mehmet Ince.
Post via email checks mail.example.com if default settings aren’t changed. Reported by John Blackbourn of the WordPress Security Team.
A cross-site request forgery (CSRF) was discovered in the accessibility mode of widget editing. Reported by Ronnie Skansing.
Weak cryptographic security for multisite activation key. Reported by Jack.
Und das sind nur die Sicherheitsprobleme. Dazu wurden noch 62 Fehler gefixt. Oh oh.
| Abgelegt unter Software
The views expressed by the author are personal.
Naja, XSS Lücken sind ja nur eine Gefahr, wenn auf deiner Seite eingeloggte User verkehren und dadurch deren Loginstatus oder auch Daten abgegriffen werden könnte. Tun sie aber nicht.
Und das Rest API ist doch ein Plugin, ist das bei dir installiert? Ich hab keine Installation wo das drauf ist.
So wie ich das überblicke betreffen die Meldungen im Grunde nur spezielle Themes und Plugins oder Szenarien, die bei einer WP Installation kaum vorkommen.
@struppi: jaaaaa aaaaber, ich verblogge das hier ja nicht nur für mich, sondern eben auch für meine 3 Leser. Vin denen hat ja vielleicht jemand Interesse daran
Schon klar. Aber wie gesagt, WP sollte doch automatisch geupdated werden, bei dir nicht?
Ich hatte vorgestern vier Mails WP bekommen, dass eine neue Version installiert wurde.
Und das WP auch schon Einfallstore hatte sollte bekannt sein (wer seinen Blog nicht auf automatische updates gestellt hat, müsste eigentlich mit 99% Wahrscheinlichkeit schon mal Opfer geworden sein - ich war es schon). Aber Grund zur Panikmache gibt es hier nicht (es sei denn, man hat eine WP Installation die die genannten Plugins nutzt und/oder Benutzerkonten.)
Seit ein selten "genutzer" WP-Blog von mir gehackt wurde, hab ich alles auf automatisch gestellt. Ich sehe keinen Vorteil das nicht zu tun, zumal du ja auch eine Nachricht bekommst wenn ein update eingespielt wurde. Wenn du gehackt wurdest nicht (bzw. erst später vom Hoster oder so).
Das Kleingedruckte: Halte Dich bitte an die Spielregeln. Welche Emoticons du verwenden kannst, steht hier.
Um hier kommentieren zu können, musst Du einen beliebigen Namen sowie eine beliebige E-Mail-Adresse angeben. Diese Daten werden dann erstmal zur Spamerkennung in die USA geschickt, dort und danach auch auf meinem Server gespeichert. Mit dem Absenden Deines Kommentars erklärst Du Dich damit und den hier geltenden Datenschutzbestimmungen (insbesondere dem Abschnitt Kommentarfunktion) einverstanden. Wenn Du damit nicht einverstanden bist, lass das Kommentieren bleiben, aber dann deinstalliere bitte auch sofort WhatsApp und verabschiede Dich von Facebook.
Kommentarabonnements werden automatisch nach 3 Monaten gelöscht.
Wer HTML kann, ist klar im Vorteil. Diese Tags sind erlaubt: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>
Bei der Menge an Spam-Kommentaren passiert es hin und wieder, dass ein Kommentar vom Spamfilter gefressen wird. Bitte sei mir nicht böse aber ich habe weder Zeit noch Lust, solch verloren gegangenen Kommentaren hinterher zu forschen. Wenn das öfters passiert, schreib' mir 'ne Mail damit ich dich whitelisten kann.
Jens T. on "Simple" Security: “Wegen der „da ist ganz sicher noch was, es hat nur noch niemand gefunden“-Lage, in der man mit WordPress und…”
Siewurdengelesen on Dumm klickt gut: “Das wird hier auch noch besser und daran hat sicher nicht nur der Weg weg von Büchern zu digitalen Medien…”
Schwarzes_Einhorn on Wie die GEMA aktiv Kultur unterbindet...: “Der Mittelalter-Weihnachtsmarkt in Esslingen – liegt mehr oder weniger neben dem normalen Weihnachtsmarkt – kommt aber eh mit weniger und…”
Bettina on Wie die GEMA aktiv Kultur unterbindet...: “Schade, dass du „Last Christmas“ nicht mehr hören kannst. Dann verpasst du was: https://www.youtube.com/watch?v=EM6HNtLDRlU https://www.youtube.com/watch?v=mWzMa7g9BHc https://www.youtube.com/watch?v=r3j47YqmwHo Und hier Mariah Carey:…”
Es sieht so aus, als hättest du keinen Werbeblocker installiert. Das ist schlecht für dein Gehirn und manchmal auch für deinen Computer.
Bitte besuche eine der folgenden Seiten und installiere dir einen AdBlocker deiner Wahl, danach kannst du todamax wieder ohne Einschränkungen genießen.
Ey, lass mich einfach rein, okay?
(Setzt per Javascript einen Cookie. Wenn Du das alles deaktiviert hast, weiß ich auch nicht, wie ich dir helfen soll)
Ich will das hier nie wieder sehen.
(Setzt per Javascript einen sehr langlebigen Cookie. Wenn Du das alles deaktiviert hast oder Cookies automatisch oder auch von Hand löschst, weiß ich auch nicht, wie ich dir helfen soll)
Ihr Browser versucht gerade eine Seite aus dem sogenannten Internet auszudrucken. Das Internet ist ein weltweites Netzwerk von Computern, das den Menschen ganz neue Möglichkeiten der Kommunikation bietet.
Da Politiker im Regelfall von neuen Dingen nichts verstehen, halten wir es für notwendig, sie davor zu schützen. Dies ist im beidseitigen Interesse, da unnötige Angstzustände bei ihnen verhindert werden, ebenso wie es uns vor profilierungs- und machtsüchtigen Politikern schützt.
Sollten Sie der Meinung sein, dass Sie diese Internetseite dennoch sehen sollten, so können Sie jederzeit durch normalen Gebrauch eines Internetbrowsers darauf zugreifen. Dazu sind aber minimale Computerkenntnisse erforderlich. Sollten Sie diese nicht haben, vergessen Sie einfach dieses Internet und lassen uns in Ruhe.
Die Umgehung dieser Ausdrucksperre ist nach §95a UrhG verboten.
Artikel als RSS
Das passiert doch (mittlerweile) automatisch.
Aber das sind keine besonders schlimmen Sachen für eine 08/15 WP Seite. Welche Gefahren siehst du da?
@struppi: also mir reicht schon der Spruch "The REST API exposed user data for all users who had authored a post of a public post type."
und 3 Cross-Site-Probleme. Naja, sicher noch so schlimm wie ein Atomkraftwerkhack, aber gut halt auch nicht.
Naja, XSS Lücken sind ja nur eine Gefahr, wenn auf deiner Seite eingeloggte User verkehren und dadurch deren Loginstatus oder auch Daten abgegriffen werden könnte. Tun sie aber nicht.
Und das Rest API ist doch ein Plugin, ist das bei dir installiert? Ich hab keine Installation wo das drauf ist.
So wie ich das überblicke betreffen die Meldungen im Grunde nur spezielle Themes und Plugins oder Szenarien, die bei einer WP Installation kaum vorkommen.
@struppi: jaaaaa aaaaber, ich verblogge das hier ja nicht nur für mich, sondern eben auch für meine 3 Leser. Vin denen hat ja vielleicht jemand Interesse daran
Schon klar. Aber wie gesagt, WP sollte doch automatisch geupdated werden, bei dir nicht?
Ich hatte vorgestern vier Mails WP bekommen, dass eine neue Version installiert wurde.
Und das WP auch schon Einfallstore hatte sollte bekannt sein (wer seinen Blog nicht auf automatische updates gestellt hat, müsste eigentlich mit 99% Wahrscheinlichkeit schon mal Opfer geworden sein - ich war es schon). Aber Grund zur Panikmache gibt es hier nicht (es sei denn, man hat eine WP Installation die die genannten Plugins nutzt und/oder Benutzerkonten.)
@struppi: nee, ich update mein eigenes Blog lieber selbst. Die anderen Sites werden aber schon automatisch aktualisiert...
Ach so.
Seit ein selten "genutzer" WP-Blog von mir gehackt wurde, hab ich alles auf automatisch gestellt. Ich sehe keinen Vorteil das nicht zu tun, zumal du ja auch eine Nachricht bekommst wenn ein update eingespielt wurde. Wenn du gehackt wurdest nicht (bzw. erst später vom Hoster oder so).