{"id":185924,"date":"2017-01-12T07:24:39","date_gmt":"2017-01-12T06:24:39","guid":{"rendered":"http:\/\/www.borncity.com\/blog\/?p=185924"},"modified":"2024-10-04T20:25:11","modified_gmt":"2024-10-04T18:25:11","slug":"wordpress-4-7-1-freigegeben","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2017\/01\/12\/wordpress-4-7-1-freigegeben\/","title":{"rendered":"WordPress 4.7.1 freigegeben"},"content":{"rendered":"

\"\"Die Entwickler haben am 11. Januar 2016 WordPress Version 4.7.1 allgemein freigegeben. Es handelt sich um ein Sicherheits-Update, welches einige Sicherheitsanf\u00e4lligkeiten schlie\u00dft und z\u00fcgig installiert werden sollte.<\/p>\n

<\/p>\n

\"\"Mir wurde dieses Update die Nacht im Blog angeboten und dann auch problemlos installiert. Es empfiehlt sich aber, vor der Installation ein Update der Datenbank anzufertigen. Blog-Inhalte kann man im Dashboard z.B. \u00fcber Werkzeuge \u2013 Daten exportieren <\/em>lokal speichern lassen.<\/p>\n

WordPress 4.7.1-Korrekturen<\/h3>\n

Hier im Blog hatte ich ja \u00fcber die Sicherheitsl\u00fccke im PHP-Mailer berichtet (PwnScriptung: PHPMailer-L\u00fccke macht WordPress angreifbar<\/a>). Die L\u00fccke hielt sich zwar in Grenzen und konnte hier im Blog nicht ausgenutzt werden. Aber es gab weitere unsch\u00f6ne Sachen, wie die M\u00f6glichkeit, Benutzerkontennamen \u00fcber die REST API zu sammeln. Das Thema hatte ich im Blog-Beitrag WordPress: REST API erm\u00f6glicht \"Konten-Harvesting\"<\/a> angerissen \u2013 hier im Blog verhindert eine Firewall diesen Angriff.<\/p>\n

Jedenfalls hat das WordPress-Entwicklerteam reagiert und mit der WordPress Version 4.7.1 folgende L\u00fccken geschlossen bzw. \u00c4nderungen durchgef\u00fchrt (siehe<\/a>).<\/p>\n

    \n
  1. Remote code execution (RCE) in PHPMailer \u2013 No specific issue appears to affect WordPress<\/i> or any of the major plugins we investigated but, out of an abundance of caution, we updated PHPMailer in this release.<\/li>\n
  2. The REST API exposed user data for all users who had authored a post of a public post type. WordPress 4.7.1 limits this to only post types which have specified that they should be shown within the REST API.<\/li>\n
  3. Cross-site scripting (XSS) via the plugin name or version header on update-core.php<\/code>.<\/li>\n
  4. Cross-site request forgery (CSRF) bypass via uploading a Flash file.<\/li>\n
  5. Cross-site scripting (XSS) via theme name fallback.<\/li>\n
  6. Post via email checks mail.example.com<\/code> if default settings aren't changed. Reported by John Blackbourn of the WordPress Security Team.<\/li>\n
  7. A cross-site request forgery (CSRF) was discovered in the accessibility mode of widget editing.<\/li>\n
  8. Weak cryptographic security for multisite activation key.<\/li>\n<\/ol>\n

    WordPress 4.7.1 also fixes 61 bugs from Version 4.7<\/a>, including:<\/p>\n

    Bootstrap\/Load<\/p>\n