Eine weitere Runde im Update-Reigen: WordPress Version 2.1.2 ist erschienen und repariert einige Bugs. Unter anderem ist auch der Fix für die vor ein paar Tagen bekannt gewordene Sicherheitslücke in der Suchfunktion enthalten, ich habe das gerade eben noch fix geprüft. Ein Fixpack von 2.1.1 auf 2.1.2 gibt es hier.

Zudem wurde auch bekannt, dass sich jemand Zugriff auf einen WordPress.org-Server verschafft hat und dort Änderungen am PHP-Code der Version 2.1.1 vorgenommen hat. Wer in den letzten 3-4 Tagen das englische WordPress heruntergeladen und eingerichtet hat, sollte also ganz sicher sofort das Update vornehmen. Das ist eben ein Problem bei einer so weit verbreiteten Blog Software wie WordPress: Die Aussicht, eine große Anzahl installierter Versionen möglicherweise in die eigene Gewalt zu bekommen bzw. manipulieren zu können, weckt Begehrlichkeiten.

Aber auch wenn auf wordpress.de etwas relativiert wird:

Nur um das nochmal klar zu stellen: die DE-Edition 2.1.1 war nicht vom “worst Case” betroffen, wurde nicht verändert und enthält keinen schadhaften Code. Wer die DE-Edition runtergeladen und installiert hat, ist nicht betroffen.

installiert Euch das Update trotzdem. Denn wie eingangs bereits beschrieben enthält es Fixes für Bugs, die nichts mit dem Crack zu tun haben sondern „echte“ Fehler sind.

Ich persönlich finde die schnelle Reaktion der Entwickler Klasse. Und ich installiere lieber ein mal pro Woche ein Sicherheitsfix, als irgendwann mein System komplett neu.

Missi berichtet wieder einmal über Sicherheitsprobleme von WordPress, diesmal handelt es sich um die aktuelle Version 2.11.

Es handelt sich um ein durchaus sehr kritisches Problem, da die Suchfunktion von WordPress die Möglichkeit bietet, per SQL-Injection in der Datenbank herum zu pfuschen.

Idealerweise gibt es bereits eine (inofizielle) Korrektur dieses Fehlers, zu finden ist er hier. Die Änderungen sind in der Datei /wp-includes/query.php vorzunehmen. Wer mit dem diff nicht klar kommt oder sich Änderungen an den Dateien nicht zutraut, bei mir gibt es die bereits modifizierte Datei zum einfachen austauschen auf dem Server. Herunterladen, umbenennen in query.php und in den Ordner /wp-includes/ kopieren. Fertig. Und (vorerst) wieder sicherer…

Heise berichtet von einem Blogeintrag bei pagetable.com, in dem Myria ein eigentümliches Verhalten von Skype beschreibt. Laut Myria legt Skype eine .com-Datei an, die das BIOS des Rechners ausliest, unter anderem wird auch die Seriennummer des Mainboards so ermittelt. Aufgefallen war dies nur, weil Skype auf ihrem 64Bit-System Fehlermeldungen erzeugte, die auf diese Datei hinwiesen.

Ich habe bei mir dieses Verhalten auf die Schnelle nicht nachvollziehen können, zumindest wird hier scheinbar keine derartige Datei angelegt, möglicherweise wird diese aber auch nach einmaligem erfolgreichen ausführen wieder beseitigt, keine Ahnung. Es bleibt allerdings die Frage offen, wofür Skype diese Informationen benötigt. Eine mögliche Variante wäre beispielsweise eine damit mögliche eindeutige Identifizierung, zu welchen Zwecken auch immer. Genau so gut ist denkbar, dass mit diesen Informationen ein eineindeutiger Key für eine Verschlüsselung des Protokolls erzeugt wird. Unterstellen kann man Skype nun alles mögliche, der Fantasie sind hier keine Grenzen gesetzt und in der Vergangenheit zeigte sich oft genug, dass derartige Daten nicht zwingend im Sinne des Anwenders genutzt werden.

Im Augenblick weiß allerdings niemand, was mit diesen Informationen tatsächlich geschieht. Und Skype wird sich in den nächsten Tagen sicherlich winden, um dafür eine Erklärung zu liefern, die für viele wahrscheinlich sehr unglaubwürdig sein wird. Denn wer heimlich derartige Informationen sammelt und diese Tatsache dann auch noch durch technische Maßnahmen zu verschleiern versucht, dem wird man nachträglich nicht mehr so leicht Ehrlichkeit abnehmen.

Im WordPress Development Blog gibt es Informationen zum Update auf WordPress 2.07, welches nun in der endgültigen Version vorliegt. Es handelt sich um ein Security-Update, welches den kürzlich im Detail bekannt gewordenen Exploit fixen soll. Zudem wird der Fehler beim ausliefern der Feeds im Zusammenhang mit Feedburner behoben.

Da mit diesem Update ein Fehler in PHP umgangen wird, der die Möglichkeit einer SQL-Injection eröffnet, empfehle ich allen ein recht zügiges Update ihrer WordPress Installation.

Folgende Dateien haben sich seit 2.06 geändert:

• wp-admin/inline-uploading.php
• wp-admin/post.php
• wp-includes/classes.php
• wp-includes/functions.php
• wp-settings.php
• wp-includes/version.php

Details zu allen Änderungen findet Ihr hier.