WordPress 3.5.2 Update für die Sicherheit

Das WordPress 3.5.2 Update ist erschienen und eine Aktualisierung auf die neue Version wird von WordPress dringend empfohlen.

WordPress 3.5.2

WordPress 3.5.2 Update

Für gewöhnlich veröffentliche ich keine Softwareupdates, wenn sie nicht unbedingt bahnbrechende neue Funktionen mit sich bringen. Im aktuellen Fall tut es aber mal Not, denn es handelt sich um ein wichtiges Sicherheitsupdate. Jeder kann das WordPress Update automatisch aus seinem WordPress Admin-Bereich heraus durchführen. Alternativ kannst du auch nach meiner Anleitung nach WordPress manuell aktualisieren. Wie bei jedem Update, das man durchführt, solltest du dir ein Backup deiner Datenbank anlegen. Es wird schon über Update-Fehler geredet, die nach dem Update eine weiße Seite zeigen. Skeptiker warten auch gerne noch ein wenig ab, so hat die WordPress Community Zeit erste Rollout-Errors zu beheben. Das ist jetzt aber kein Aufruf zur Panik. Nach meinem Backup habe ich das WordPress 3.5.2 Update problemlos über das Dashboard automatisch auf vanderelbe.de bringen können.

Version 3.5.2 behebt sieben Sicherheitsprobleme:

  • Server-Side Request Forgery (SSRF) via the HTTP API. CVE-2013-2199.
  • Privilege Escalation: Contributors can publish posts, and users can reassign authorship. CVE-2013-2200.
  • Cross-Site Scripting (XSS) in SWFUpload. CVE-2013-2205.
  • Denial of Service (DoS) via Post Password Cookies. CVE-2013-2173.
  • Content Spoofing via Flash Applet in TinyMCE Media Plugin. CVE-2013-2204.
  • Cross-Site Scripting (XSS) when Uploading Media. CVE-2013-2201.
  • Full Path Disclosure (FPD) during File Upload. CVE-2013-2203.

Zusätzliche Verstärkung der Sicherheit umfasst:

  • Cross-Site Scripting (XSS) (Low Severity) when Editing Media. CVE-2013-2201.
  • Cross-Site Scripting (XSS) (Low Severity) when Installing/Updating Plugins/Themes. CVE-2013-2201.
  • XML External Entity Injection (XXE) via oEmbed. CVE-2013-2202.

WordPress 3.6 Beta 4

Wer mutig ist und ein wenig mehr ausprobieren will, der kann sich auch die aktuelle WordPress Beta 4 (zip) mit dem aktuellen Sicherheitsupdate herunterladen. Von einem Produktiveinsatz einer Beta-Version ist stark abzuraten!

2 Antworten

  1. Alex L sagt:

    Hallo,
    ich kann mich derzeit auch nicht beschweren. Durch den Update-Link im WP-Backend konnte ich die Version 3.5.3 alpha ziehen und problemlos installieren. Ich habe auch noch 60 Plugins aktiviert, sodass diese mit der neuen WordPress-Version kompatibel zu sein scheinen. Zudem verwende ich auf einer Subdomain von Internetblogger WordPress 3.6 beta, nicht aber die letzte Version. 3.6 beta läuft auch ohne Probleme und man kann damit also arbeiten.