Der aktuelle WordPress Release 2.3.3 schließt eine Sicherheitslücke, welche die XML-RPC Schnittstell betrifft. Diese Sicherheitslücke ermöglicht es Angreifern bereits erstellte Beträge zu verändern.

If you have registration enabled a flaw was found in the XML-RPC implementation such that a specially crafted request would allow a user to edit posts of other users on that blog.

Zudem werden einige kleine Fehler mit dem aktuellen Release behoben. Die Entwickler empfehlen einen schnellen Umstieg auf die neue Version von WordPress. Download der neuen Version unter http://wordpress.org/download/.

• B2evolution – 1.10 : Upgrade now!
• Habari Developer Release 0.2
• Serendipity 1.1.4 released, security bug in entryproperties plugin
• WordPress- 2.2.2. – and-2.0.11

Bei der letzten Version von Drupal sind einige Sicherheitslücken aufgetreten, diese werden mit diesen Release geschlossen.

These are maintenance releases that fix problems reported using the bug tracking system, as well as some security vulnerabilities.

Upgrading your existing Drupal sites is strongly recommended.

Download der neuen Versionen

• Drupal 5.2
• Drupal 4.7.7

Meine Del.icio.us Links für Juli 11th:

• 11 Craziest Ways To Browse Flickr Photos -
• Exciting Commerce: Widget Week: W3C Widget Requirements (Neuer Entwurf) – http://www.typepad.com/t/trackback/400727/19968980
• BlogSecurity » WordPress Cross Domain Redirect -
• Everything TypePad: Twitter + TypePad Widget = Twidget? -
• WP Text Ads 1.1 Released : Reviews of WordPress Plugins and Themes -
• Blogger Buster: “Recent comments” widget for Blogger -
• BlogSecurity » WordPress Path Disclosure Vulnerability -

Meine Del.icio.us Links für Juni 30th – Juli 6th:

• BlogSecurity » wp-pass Redirect Vulnerability -
• OLG Hamburg: Keine Verwendung von Unternehmensnamen als Titel eines Blogs -
• 230+ Keyboard Shortcuts for Top Web Services -

Nach mittlerweile recht langer Zeit gibt es eine neue Version der Weblogsoftware Textpattern. Die Version 4.0.5 ist ein Sicherheitsrelease, da eine XSS-Sicherheitslücke in der Kommentar-Vorschau geschlossen wurde. Es sei also allen Nutzern angeraten, die neue Version zu installieren.

Since the authentification cookie is restricted to the admin-directory and not accessible from the front-end, in most cases this means “onlyâ€? the info from the comment-data-cookie might be leaked. Users that run textpattern together with other software or third party plugins that set cookies might be at risk of having other data leaked, when a user can be tricked into following certain links.

Gegenüber der Vorversion sind zahlreiche Änderungen und Verbesserungen in die neue Version mit eingeflossen:

• Fixed security issue on public-side (XSS) (thanks zarathu)
• Fixed path disclosure issue (thanks zarathu)
• Search for posted and last modifed dates in article list
• New tag: <txp:hide /> as a container for comments and other internal content
• Changed tags: <txp:comments />, <txp:category_list />, <txp:section_list /> and <txp:image_index /> support ‘sort’ attribute
• Distribute jQuery 1.1.2 as a default JavaScript library
• Keep image properties on replacement
• Add ‘delete thumbnail’ function
• Support back end branding: customizable logo and color bar
• Table sort indicators
• Textile improvements
• Fix non-utf8 mails (iso 8859-1)
• better wrapping in admin-interface to prevent horizontal scrollbar
• Add comment status to comment notification mails
• Fix “infiniteâ€? pagination in rare edge cases
• Work around apache bug for file-downloads (in connection with mod_deflate)
• Fix error messages on wrong logins for older mysql versions
• Fix comment spam blacklist false positives
• Fix file_download-tag from showing the same url for different downloads
• Fix disappearing comment preferences in certain circumstances
• Fix “active classâ€? in section_list, category_list
• Better cooperation with some proxies (and other HTTP/1.0 clients)
• Smarter comment submit button emphasises preview step
• Optionally hide spam comments in back end list
• Truncate longish article category titles in the write screen
• Handle thumbnailing of larger images
• Better MoveableType import
• Fix some more IIS issues
• New callback event: ‘textpattern_end’
• New callback event: ‘ping’
• New tag: <txp:article_url_title />
• Changed tag: <txp:permlink /> loses default title attribute
• Changed tag: <txp:file_download_link /> returns filename as an additional URL part
• Many, many minor improvements, see svn-logs

Download der aktuellen Version im Versionsarchiv.

Mit Veröffentlichung der WordPress Version 2.2.1 werden diverse aufgetretene Bugs der 2.2 Reihe und einige Sicherheitslücken geschlossen. Diese Bugs traten bei der Atom Feed Validierung, der XML-RPC-Schnittstelle, der Widget-Backward-Kompatibilität, den Widget Layout unter Microsofts IE7 und den Seiten- und Text-Widgets auf.

Die aufgetretenen Sicherheitslücken sind:

• Remote shell injection in PHPMailer
• Remote SQL injection in XML-RPC
• Unescaped attribute in default theme

Siehe auch: Developer Blog. Download (en) | Download (de)

Wie das WordPress Development Blog heute verkündet, wurden die WordPress Versionen 2.1.3 und 2.0.10 veröffentlicht. Beide Releases sind beeinhalten Sicherheitsupdates und sollten umgehend installiert werden um die entsprechenden Sicherheitslücken zu schließen.

These releases include fixes for several publicly known minor XSS issues, one major XML-RPC issue, and a proactive full sweep of the WordPress codebase to protect against future problems.

Download der neuen Versionen in englischer Sprache.

Das Development Blog von WordPress warnt davor die gerade erst veröffentlichte Version 2.1.1 zu verwenden. Dieser Version enthält schadhaften Quellcode der von einem Cracker eingefügt wurde. Aus diesem Grund wird allen Nutzern der Version 2.1.1 empfohlen möglichst schnell auf die Version 2.1.2 zu upgraden.

Download der Version 2.1.2 auf Englisch. Die deutsche Version sollte hier demnächst verfügbar sein.
Eine ausführliche Beschreibung, wie der schadhafte Code aufgefallen und vor allem in den Release integiert werden konnte ist im Development Blog zu finden. Die Entwickler von WordPress geloben aber Besserung, so dass solch ein Vorfall sich nicht wiederholt:

We are also taking lots of measures to ensure something like this can’t happen again, not the least of which is minutely external verification of the download package so we’ll know immediately if something goes wrong for any reason.

Sofern die Version 2.1.1 installiert ist, sollte durch ein vollständiges Update alle Dateien überschrieben werden.

Da ich eh demnächst das Passwort eines WLAN ändern will, und dabei auch nicht vor generierten Passwörtern zurückschrecke, habe ich hier ein paar Möglichkeiten aufgelistet, Passwörter maschinell zu generieren.* Maschinell erstellte Passwörter sind um einiges sicherer als ausgedachte Passwörter, da der Mensch doch allzu häufig bereits bekanntes wiederholt. Dies konnte ich bei mir feststellen, als ich mir mal wieder ein Passwort ausdenken wollte.

• Secure Password Generator
  4-64 Zeichen, Groß- und Kleinschreibung, Alphanumerisch, Sonderzeichen
• Strong Passwords 101
  1-128 Zeichen, Groß- und Kleinschreibung, Alphanumerisch, Sonderzeichen

Dass künstlich generierte Passwörter nicht unbedingt an jeder Stelle genutzt werden müssen, liegt wohl auf der Hand. Schließlich will niemand eine 36-Zeichen-Passwort beim Einloggen in jedes beliebige Forum tippen müssen. Dennnoch sollte man gerade bei WLANs ein möglichst langes, mit Sonderzeichen gespicktes und wechselnder Groß- und Kleinschreibung nutzen um ein Maximum an Sicherheite zu erreichen.

* Natürlich gibt es Tausende andere Möglickeiten und Weblinks, eine Passwort zu erstellen, dies ist nur eine zufällig gewählte Auswahl.