WordPress 3.9.2 schließt schwerwiegende Sicherheitslücken

Für WordPress ist mit der Version 3.9.2 ein Sicherheits-Update erschienen. Das Update schließt eine Sicherheitslücke durch die Angreifer in der Lage sind über eine Lücke ( Denial of Service im XML Processing) einen Server auf dem WordPress läuftvkomplett in die Knie zu zwingen. Konkret wurde eine Lücke geschlossen, die es ermöglichte einen DDoS-Angriff über den XML-Prozess von PHP zu fahren.

Die Sicherheits-Lücke betrifft alle WordPress-Versionen ab 3.5 bis zu 3.9 Das Update steht wie immer über das WordPress-Dashboard bereit.

WordPress 3.9.2 behebt weitere Sicherheitslücken:

  • Es bestand die Möglichkeit Code auszuführen, während Widgets ausgeführt wurden.
  • Die neue Version schließt Datenlecks die XML-Attacken übder die externe GetID3-Bibliothek ermöglichen.
  • Ein Schutz gegen Brute-Force-Attacken gegen die CSRF Tokens wurde integriert.
  • Verbesserung zur Verhinderung von Cross-Site-Scripting usw.

S0llte die automatische Aktualisierung im Hintergrund deaktiviert sein, kann im Administrationsbereich die Aktualisierung manuell durchgeführt. Für Nutzer, die manuell auf 3.9.2 aktualisieren möchten, wird ein Upgrade-Paket angeboten, das nur die geänderten Dateien zur direkten Vorgängerversion enthält.

Auch die neue WordPress 4.0 Beta 3 enthält diese Sicherheitspatches.

Es wird empfohlen, dieses Update schnellstmöglich durchzuführen.