WordPress 3.9.2 ist nun als Sicherheitsupdate verfügbar. Es wird empfohlen, dass dieses Update schnellstmöglich durchgeführt wird.

Dieses Update schließt Sicherheitslücken, durch die es möglich ist einen DDoS-Angriff über den XML-Prozess von PHP zu fahren. Der Fehler wurde von Nir Goldshlager vom Salesforce.com Sicherheitsteam entdeckt. Der Fehler wurde durch Michael Adams und Andrew Nacin vom WordPress Sicherheitsteam behoben und zusammen mit dem Drupal Sicherheitsteam koordiniert.

WordPress 3.9.2 behebt außerdem noch weitere Sicherheitslücken:

  • die Möglichkeit Code auszuführen, während Widgets ausgeführt werden (nicht im Normalbetrieb vorhanden) – gefunden von Alex Concha vom WordPress Sicherheits Team
  • Verhindert Datenlecks über XML-Attacken der externen GetID3-Bibliothek, entdeckt von Ivan Novikov von ONSec
  • Schutz gegen Brute-Force-Attacken gegen die CSRF Tokens, erstellt durch David Tomaschik vom Google Sicherheits Team
  • Zusätzliche Sicherheitsverbesserung, zum Beispiel die Verhinderung von Cross-Site-Scripting, welches aber nur von Administratoren ausgeführt werden kann

Sollte es noch weitere Probleme geben, sollten diese direkt an das WordPress Sicherheitsteam gemeldet werden. Mehr Informationen gibt es in den Release Notes und dem Changelog.

WordPress 3.9.2 kann hier herunter geladen, oder direkt über das Dashboard -> Aktualisierungen in WordPress ausgeführt werden.

WordPress-Installationen, bei denen die Hintergrund-Aktualisierung aktiv ist, werden innerhalb der kommenden 12 Stunden automatisch auf Version 3.9.2 aktualisiert. Nachdem die automatische Hintergrund-Aktualisierung durchgeführt wurde, erhält der Administrator eine Bestätigungs-E-Mail. (Wenn du immernoch WordPress 3.8.3 oder 3.7.3 einsetzt, wird WordPress automatisch auf Version 3.8.4 bzw. 3.7.4 aktualisiert. Es wird aber keinen weiteren Support für ältere Versionen mehr geben und es wird ein Update auf 3.9.2 empfohlen.)

Sofern die Hintergrund-Aktualisierung deaktiviert wurde, kann aus dem Administrationsbereich die Aktualisierung manuell eingeleitet werden. Für Nutzer, die manuell auf 3.9.2 aktualisieren möchten oder bei denen eine automatische Aktualisierung aus technischen Gründen nicht möglich ist, bieten wir ein Upgrade-Paket an, das alle geänderten Dateien zur direkten Vorgängerversion enthält.

» Download Upgradepaket von 3.9.1 auf 3.9.2

Die offizielle englisch- und deutschsprachige Vollversion 3.9.2 kann im Downloadbereich heruntergeladen werden. Weitere Informationen zu dieser Version finden sich im offiziellen Ankündigungsbeitrag und im Codex.

Vor jeder Aktualisierung unbedingt ein vollständiges Backup aller Dateien und der Datenbank anlegen!

Wir bitten euch, Support-Fragen zu der neuen Version im Forum zu stellen. Dort findet ihr Hilfe falls bei euch Probleme auftauchen oder ihr Fragen im Vorfeld der Aktualisierung habt.

Beta-Version

Auch die aktuelle WordPress 4.0 Beta 3 enthält diese Sicherheitspatches.