WordPress 3.0.2 Sicherheitsupdate. WordPress 3.0.2 wurde am 01. Dezember veröffentlicht und behebt 9 Fehler. Das Update 3.0.2 schließt eine Sicherheitslücke und behebt weitere kleinere Fehler. Es wird empfohlen wegen der kleinen Sicherheitslücke WordPress zu aktualisieren. Die offizielle deutschsprachige Version steht auf der deutschen WordPress Seite zur Verfügung. (weiterlesen …)

Drupal entwickelt sich weiter. Für das beliebte CMS System wird weiter mit Hochdruck an der neuen Drupal 7 Version gearbeitet. Vor kurzem wurde bereits die zweite Alpha-Version von Drupal 7 veröffentlicht. Die ersten bösen Bugs wurden damit auch schon behoben.

Update 03.2010: Drupal 7.0 Alpha 3 ist nun bereits verfügbar!

Die Antwort wenn dann Drupal 7 erscheinen würde wurde bisher wie folgt gegeben:

The release version of Drupal 7.0 will be ready after (a) there are no more critical bugs and (b) we’ve had at least one release candidate (RC) without adding any more issues to the list.

Na ja nach einer Alpha Version kommt ja erst mal die Beta-Version und es versteht sich von selbst, das diese Versionen auf keinen Fall in Produktivumgebungen eingesetzt werden sollten. (weiterlesen …)

Firefox 3.5.1 schließt kritisches Sicherheitsloch. Das Firefox Update auf die Version 3.5.1 verspricht auch mehr Stabilität und kürzere Ladezeit unter Windows.

Klar war es, dass in der neuen Firefox Browserversion 3.5 noch Fehler und Sicherheitslücken vorhanden sind. Mit der Veröffentlichung von Firefox 3.5.1 schließt Mozilla immerhin schon mal eine kritische Sicherheitslücke (Fehler im JIT-JavaScript-Compiler). Der Fehler erlaubte es, dem Nutzer bösartigen Code unterzuschieben. Angreifer konnten sich diesen Fehler zu Nutze machen, um Schadsoftware auf dem System zu installieren.

Dieses Sicherheitsloch wurde mit dem Update nun behoben! Weiterhin wurde versucht die Stabilität und Geschwindigkeit des Browsers etwas zu verbessern.

Offiziell schreibt Mozilla zum Firefox 3.5.1 das folgende Probleme behoben wurden:

• Mehrere Sicherheitslücken.
• Mehrere Stabilitätsprobleme.
• Ein Problem, das dazu führte, dass Firefox auf einigen Windows-Systemen lange Ladezeiten hatte.

Pünktlich zum Jahreswechsel 2007/2008 gibt es ein neues Sicherheitsrelease bzw. Upgradepacket für WordPress 2.3. Ein Update auf die neue Version WordPress 2.3.2 wird empfohlen!

• Download WordPress 2.3.2 DE-Edition
• Upgradepaket für 2.3.1 auf 2.3.2
• Offizielle englischsprachige Version 2.3.2

Wer das WordPress-Plugin “Math Comment Spam Protection” auf seinem WordPress Blog installiert hat, sollte so schnell wie möglich ein Update einspielen, da eine Sicherheitslücke in der Version 2.1 aufgetaucht ist. Die Sicherheitslücke wurde jedoch schnell in der Version 2.2 geschlossen und steht nun zum Download zur Verfügung.

Michael schreibt zu dem Problem folgendes auf seinen Blog:

Die Sicherheitslücke war in allen bisherigen Plugin-Versionen enthalten und es war zumindest theoretisch möglich, über die Plugin-Optionen für die Ausgabe der Fehlermeldungen bei Eingabe einer falschen Lösung einen schadhaften Code auszuführen. Grundsätzlich empfehle ich jedem, das Update durchzuführen. Ich werde dies auch zum Anlass nehmen, meine anderen Plugins die nächsten Tage auf Sicherheitslücken zu prüfen.

Gedanken zu Sicherheitslücken in WP-Plugins:

Wenn eine Sicherheitslücke so schnell wie möglich geschlossen werden soll, sollten Entwickler dann nicht sofort alle Möglichkeiten nutzen, wie zum Beispiel den seit WordPress 2.3 implementierte Plugin-Update-Infomations-Service oder den WP Plugins Tracker, um den Benutzer so schnell wie möglich über Sicherheitsupdates zu informieren?

Dann mal viel Spaß beim Update einspielen

Kurz bevor die neue WordPress Version 2.3 herauskommt gibt es noch schnell ein Sicherheits- und BugFix-Release für die Version 2.2

WordPress 2.2.3 ist jetzt in der DE-Edition verfügbar. Diese Version ist ein Sicherheits- und BugFix-Release, ein Upgrade wird dringend empfohlen.

• Download WordPress 2.2.3 DE-Edition
• Upgradepaket für 2.2.2 auf 2.2.3

Via: WordPress Deutschland Blog » WordPress 2.2.3 DE-Edition und Upgradepaket

Es gibt ein neues WordPress Update! WordPress 2.2.2 und 2.0.11 sind nun auch in der DE-Edition verfügbar. Diese Versionen beheben Sicherheitslücken, ein Upgrade wird dringend empfohlen!

• Download WordPress 2.2.2 DE-Edition
• Upgradepaket für 2.2.1 auf 2.2.2

Hinweis: Die WordPress 2.0-Serie wird nicht mehr weiterentwickelt, auftretende Sicherheitslücken werden aber weiterhin behoben.

(via: WordPress 2.2.2 und 2.0.11DE-Editionen)

Die Mozilla-Entwickler haben ein bekanntes Loch im Passwort Manager von Firefox & Co behoben und doch einen Weg für den Missbrauch offen gelassen. Der eingebaute Firefox Passwort Manager speichert auf Wunsch Benutzername und Passwort und füllt die entspr. Formularfelder beim nächsten Besuch automatisch wieder aus.

Was als praktisch erscheint, ist jedoch fatal, wenn sich eine böswillige Seite auf dem gleichen Server befindet. Denn das ausfüllen der Felder geschieht nicht nur auf der Seite, auf der man das Passwort gespeichert hat, sondern auch auf jeder anderen Seite auf dem gleichen Server, die ein ähnliches Formular enthält. Somit könnte jemand die Benutzer/Passwort Kombination ausspionieren.

Gelesen habe ich das ganze in dem Heise Artikel: Löchriger Firefox Passwort Manager. Ich habe die aktualisierte Browsercheck-Seite gleich einmal aufgerufen und das Problem nachgestellt.

Und was lernen wir wieder einmal daraus? Man sollte wichtige und kritische Passwörter nicht im Browser speichern. Dies gilt übrigens für jeden Browser. Passwörter haben auf einem Rechner nichts verloren!

Meine Altanative lautet: KeePass Password Safe. Ich benutze das Freeware Tool KeePass um die meisten meiner Passwörter zu speichern und dann wenn benötigt halt per Hand in das Browserformular zu kopieren. Dies hat sich bei mir sehr bewährt.

In vielen WordPress Themen findet sich eine XXS (Cross-Site-Scripting) Lücke.

Ursache des Problems ist die ungefilterte Ãœbernahme der aufgerufenen URL zumeist in die Ausgabe von Theme-spezifischen 404-Fehlerseiten.

Ob ein Blog mit seinem Theme verwundbar ist, lässt sich etwa durch Aufruf von

http://<Blog-URL>/index.php/index.php/"<script>
alert(document.cookie)</script>

feststellen. Öffnet sich ein Alert-Fenster, ist das Theme fehlerhaft.Eine vorläufige Lösung des Problems ist, den Ausdruck

action="<?php echo $_SERVER[’PHP_SELF’]; ?>"

in den PHP-Dateien searchform.php und sidebar.php des Themas durch

action="<?php echo htmlspecialchars($_SERVER[’PHP_SELF’]); >"

zu ersetzten.

Hab den Fehler auf meinem Blog gleich mal behoben. Nun kommt kein Alert Fenster mehr

Via: heise online – XSS-Lücken in WordPress-Themes
Siehe auch: Bugtraq: WordPress All versions XSS oder Cross-Site-Scripting

Das Portal Winboard.org hat sein kostenloses «Update Pack» für Windows XP um die jüngsten Sicherheitsupdates von Microsoft erweitert. Mit ihm lassen sich alle wichtigen Patches in einem Rutsch installieren.

Linktipps zum Thema Windows-Patches

• Winboard.or Downloadseite
• Via: Alle Windows-Patches auf einen Streich – PCtipp-Webnews