Wenn es kommt, kommts immer ganz Dicke! Vor ein paar Stunden wurde WordPress 2.6.3 veröffentlicht, das Release behebt ein kritisches Sicherheitsproblem. Durch einen Hinweis von Oliver ist jetzt ein weiteres Sicherheitsproblem aufgetaucht, dass im schlimmsten Fall das Ausführen von Schadcode auf dem Server per Cross-Site Scripting (XSS) zulässt. Betroffen sind allerdings nur Benutzer des internationalisierten Standardthemes “default”. Dieses Theme ist in unserer DE-Edition (default_de) enthalten und in fast allen internationalen wordpress.org Versionen. Wer also seine Version zB bei de.wordpress.org gezogen hat ist davon auch betroffen.

Wen betrifft es?
Das Problem betrifft alle Blogs die das lokalisierte Standardtheme Kubrick aktiviert haben, darunter fällt die DE-Edition und alle Versionen der WP.org-Länderseiten, also zB de.wordpress.org, fr.wordpress.org, etc.

Die Lösung:
Sofern ihr die DE-Edition benutzt (betroffen sind alle DE-Editionen zwischen 2.5 und 2.6.3) folgende Datei runterladen

—> sidebar_fix.zip

und mit der betroffenen austauschen:

wp-content/themes/default_de/sidebar.php

Solltet ihr die deutsche Version von de.wordpress.org installiert haben den Fix runterladen und folgende Datei austauschen:

wp-content/themes/default/sidebar.php

In der DE-Edition 2.6.3 wurde das Problem um 17:00 behoben, seit diesem Zeitpunkt ist der Fix enthalten, wenn ihr die DE-Edition oder nur das Upgradepaket vorher runtergeladen habt, spielt bitte den genannten Fix ein.

Die Ursache:
WordPress.org bietet das Default-Theme Kubrick in zwei Versionen an: die englischsprachige und die internationalisierbare, welche mit Hilfe einer Sprachdatei (kubrick.mo) übersetzt werden kann. Das hier beschriebene Sicherheitsleck wurde bereits vor über einem Jahr von WordPress.org im englischsprachigen Theme gefixt, die internationalisierte Version wurde dabei schlicht und einfach vergessen.

Wir haben das Problem mit Automattic besprochen, worauf sie es auch bestätigten. Die Autoren der jeweiligen offiziellen Länderseiten werden ihre Downloads anpassen.