Die WordPress-Entwickler haben am 5. Juli 2018 die Version 4.9.7 der CMS-Software freigegeben. Es handelt sich um ein Wartungsupdate, welches diverse Sicherheitslücken behebt.
Anzeige
Die WordPress-Entwickler schreiben auf der Seite der Version 4.9.7 über eine Sicherheitslücke, die gefixt wurde. Ich hatte im Blog-Beitrag WordPress Core mit ungepatchter Sicherheitslücke über diese Sicherheitslücke berichtet.
Die offiziell gefixte Sicherheitslücke
Die gefixte Sicherheitslücke tritt beim Löschen von Medieninhalten auf. Ein Angreifer kann Dateien löschen und die Schwachstelle ausnutzen, um die Privilegien zu erhöhen. Dies würde die Übernahme eines Accounts mit einer (niedrigen) Rolle wie Autor ermöglichen. Durch weitere Schwachstellen können dann Fehlkonfigurationen vorgenommen werden. Allerdings benötigt der Angreifer die Berechtigung zum Bearbeiten und Löschen von Mediendateien (ist nicht bei allen WordPress-Installationen der Fall.
Insgesamt 17 Sicherheitslücken gefixt
In den Release-Notes ist die Rede von: This maintenance and security release fixes 17 bugs. Es wurden also 17 Fehler in der CMS-Software geflickt. Von den Machern des Plugins WordFence liegt mir noch eine Information vor, dass die neben dem oben erwähnten, offiziellen File delete-Bug noch eine zweite Sicherheitslücke gefunden haben.
Recently an arbitrary file deletion vulnerability was discovered in WordPress core by the RIPS security team. The Wordfence team took a closer look at the code and discovered a second file deletion vulnerability in WordPress core. We worked with the WordPress security team to confidentially disclose and resolve the vulnerability.
Our team released a firewall rule to protect Wordfence Premium customers against the flaw on July 2nd. The fix for both vulnerabilities has been released today in WordPress 4.9.7.
Wer also einen Blog oder eine Seite mit WordPress betreibt und kein Auto-Update eingeschaltet hat, sollte die CMS-Software auf WordPress 4.9.7 manuell aktualisieren. Ein Blog hat sich hier automatisch aktualisiert. Eine Multisite-Installation lasse ich jetzt. manuell aktualisieren.
Anzeige
Anzeige