In der Nacht vom 20. auf den 21. November wurde ein Sicherheitsupdate mit der Versionsnummer v4.0.1 für das Redaktionssystem WordPress veröffentlicht. WordPress-Installationen mit aktiver Hintergrund-Aktualisierung aktiv wurden bereits automatisch auf die neue Version aktualisiert und der Administrator durch eine Bestätigungs-E-Mail hierüber informiert.
Es wurden gleich mehrere Sicherheitslücken geschlossen, laut WordPress Deutschland schließt v4.0.1 die folgenden acht Sicherheitslücken:
-
Drei Cross-Site-Scripting Lücken, womit die Benutzer mit der Rolle Mitarbeiter und Autor die Website manipulieren konnten. Entdeckt von Jon Cave, Robert Chapin und John Blackbourn vom WordPress Sicherheitsteam.
-
Eine Cross-Site-Request-Forgery Lücke, womit Benutzer unberechtigt aufgefordert werden könnten, das Passwort zu ändern.
-
Ein Problem, womit man bei der Passwort-Abfrage einen Denial of Service auslösen konnte. Gemeldet wurde dies von Javier Nieto Arevalo und Andres Rojas Guerrero.
-
Weitere mögliche serverseitige Übergriffs-Attacken, wenn WordPress Aufrufe über HTTPS tätigen musste. Gemeldet von Ben Bidner.
-
Eine extrem unglückliche Hashtag-Überschneidung hätte es ermöglichen können, dass Benutzerkonten manipuliert werden konnten. Gemeldet von David Anderson.
-
WordPress annuliert nun den einmaligen Link in der Passwort-Zurücksetzen-Mail, falls dem Benutzer doch sein Passwort wieder eingefallen ist, sich anmeldet und dann die E-Mail Adresse ändert. Gemeldet von Momen Bassel, Tanoy Bose und Bojan Slavković of ManageWP.
WordPress 4.0.1 behebt noch weitere 23 Fehler, die in 4.0 aufgefallen sind. Es wurden zwei gravierende Änderungen vorgenommen.
Sollte in einer WordPress-Installation die Hintergrund-Aktualisierung deaktiviert sein, so kann aus der Administrationsoberfläche die Aktualisierung selbstverständlich auch manuell eingeleitet werden.
Die offizielle deutschsprachige Vollversion 4.0.1 kann wie immer auf de.wordpress.org heruntergeladen werden.