WordPress Version 4.9.7 freigegeben

Publiziert am 6. Juli 2018 von Günter Born

Die WordPress-Entwickler haben am 5. Juli 2018 die Version 4.9.7 der CMS-Software freigegeben. Es handelt sich um ein Wartungsupdate, welches diverse Sicherheitslücken behebt.  

Anzeige

Die WordPress-Entwickler schreiben auf der Seite der Version 4.9.7 über eine Sicherheitslücke, die gefixt wurde. Ich hatte im Blog-Beitrag WordPress Core mit ungepatchter Sicherheitslücke über diese Sicherheitslücke berichtet.

Die offiziell gefixte Sicherheitslücke

Die gefixte Sicherheitslücke tritt beim Löschen von Medieninhalten auf. Ein Angreifer kann Dateien löschen und die Schwachstelle ausnutzen, um die Privilegien zu erhöhen. Dies würde die Übernahme eines Accounts mit einer (niedrigen) Rolle wie Autor ermöglichen. Durch weitere Schwachstellen können dann Fehlkonfigurationen vorgenommen werden. Allerdings benötigt der Angreifer die Berechtigung zum Bearbeiten und Löschen von Mediendateien (ist nicht bei allen WordPress-Installationen der Fall.

Insgesamt 17 Sicherheitslücken gefixt

In den Release-Notes ist die Rede von: This maintenance and security release fixes 17 bugs. Es wurden also 17 Fehler in der CMS-Software geflickt. Von den Machern des Plugins WordFence liegt mir noch eine Information vor, dass die neben dem oben erwähnten, offiziellen File delete-Bug noch eine zweite Sicherheitslücke gefunden haben.

Recently an arbitrary file deletion vulnerability was discovered in WordPress core by the RIPS security team. The Wordfence team took a closer look at the code and discovered a second file deletion vulnerability in WordPress core. We worked with the WordPress security team to confidentially disclose and resolve the vulnerability. 

Our team released a firewall rule to protect Wordfence Premium customers against the flaw on July 2nd. The fix for both vulnerabilities has been released today in WordPress 4.9.7. 

You can find full technical details of the vulnerability we discovered on the official Wordfence blog…

Wer also einen Blog oder eine Seite mit WordPress betreibt und kein Auto-Update eingeschaltet hat, sollte die CMS-Software auf WordPress 4.9.7 manuell aktualisieren. Ein Blog hat sich hier automatisch aktualisiert. Eine Multisite-Installation lasse ich jetzt. manuell aktualisieren.

Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen
Dieser Beitrag wurde unter Update, WordPress abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.