Sicherheitsupdate für Wordpress
Entwickler des beliebten Blogging-Tools Wordpress haben ein Update veröffentlicht, das zwei Schwachstellen schließt. Deren Kombination erlaubt das Ausspähen von Passwörtern durch Dritte.
Aufgedeckt wurden die beiden Sicherheitslecks von Stefan Esser. Die erste Wordpress-Schwachstelle betrifft die Datenbank-Übergabe (SQL Column Truncation). Dabei soll es möglich sein, mit bestimmten Einträgen bei der User-Registrierung in Blogs die Passwörter anderer Blog-User auf einen zufälligen Wert zurückzusetzen. Zusammen mit einem zweiten Fehler in der Funktion mt_rand() — sie ist für die Generierung der Passwörter zuständig — ist ein direkter Zugriff auf fremde User-Accounts zwar nicht möglich, doch die erzeugten Passwörter sind laut Esser deutlich leichter zu erraten beziehungsweise vorauszusagen.
Betroffen von der Fehler-Kombination sollen nicht nur WordPress 2.6.1 und frühere Versionen sein, sondern auch alle PHP-Anwendungen, die diese Funktionen nutzen. Wordpress hat mit Version 2.6.2 bereits eine gefixte Variante vorgelegt, die zudem elf weitere Bugs korrigieren soll. Alle Änderungen listet das Wordpress-Blog auf.
Im Download-Bereich von Tom’s Hardware können Sie die aktuelle Version von Wordpress herunterladen.
- Acer: AMD-Notebooks fürs Business
- Intel: Umweltfreundlichere Xeons
- AMD bringt neue X3-CPUs
- BSI warnt vor Googles Chrome
- Firmen auf Mobil-Trip
- Smartphone-Pläne von Lenovo und Dell
- Thermaltake: Gaming-Gehäuse mit riesigen Lüftern
- Silverstone Fortress FT01: Neue Midi-Gehäuse Serie
- Acer Aspire X3200: SFF-PC mit Quad-Core-CPU
- AMD gibt Chip-Produktion in Dresden auf
- Neuer iPod Touch 2 und Nano 4G - Apple rockt
- Toshiba: 240 GByte auf 1,8 Zoll
- Sipgate darf iPhone-VoIP-Client nicht mehr bewerben
- AMD: »Finanzielles Desaster«
- iPhone 3G ohne SIM-Lock
- Samsung: Günstiger 24-Zöller
- AMD: UVC-CPUs im November
- Neue Sidewinder-Maus von Microsoft
