WordPress 4.2.1, 4.1.4 und 4.0.4

Bei WordPress wurde eine Sicherheitslücke im Kommentarsystem entdeckt, die es einem Angreifer erlaubt, in bestimmten Konstelllationen das System zu übernehmen. Weitere Informationen unter:

http://www.heise.de/security/meldung/Angreifer-koennen-aktuelle-WordPress-Versionen-kapern-2622268.html

Um diese Lücke zu schließen wurden die WordPress-Versionen 4.2.1, 4.1.4 und 4.0.4 herausgegeben. Alle von uns betreuten Installationen sind bereits aktualisiert.

WordPress: Slimstat Sicherheitslücke

Beim Statistik-Plugin Slimstat, welches auch auf einigen von uns betreuten WordPress-Installationen zum Einsatz kommt, wurde eine recht kapitale Sicherheitslücke bekannt. Weitere Informationen unter:

http://www.heise.de/security/meldung/WordPress-Plug-in-Slimstat-gefaehrdet-Server-2559516.html

Die von uns betreuten WordPress-Installationen sind bereits komplett auf die neueste Version von Slimstat umgestellt.

Neue Version Roundcube Webmail

Unser Webmailsystem Roundcube ist ab sofort in der neuesten Version 1.1.0 verfügbar.

Eine (englische) Übersicht über die neuen Features ist unter
http://roundcube.net/news/2015/02/08/new-stable-version-1.1-released/ zu finden.

Gegenüber der Vorgängerversion gibt es einige Erweiterungen beim Editor und in einigen Einstellungen, bisherige Roundcube-Benutzer werden sich aber sofort zurechtfinden.

Um eine Kompatibilität mit alten Internet-Explorer Versionen 7 und 8, sowie alten Firefox Versionen sicherzustellen, fährt unsere Installation mit einem zusätzlichen Systemerweiterung.

GHOST Sicherheitslücke

In der auf Linux-Servern verwendeten Standard-C-Bibliothek glibc wurde in der Funktion gethostbyname() ein Fehler gefunden, der allerdings nur mit geeigneten Ranbedingungen ausgenutzt werden kann.

Die bei uns eingesetzte Software wie Postfix, sendmail, Dovecot, die Web-Server Apache und Nginx und SW-Pakete wie NodeJS, MySQL, OpenSSH, GnuPG und Samba sind von den Problem nicht betroffen.

Nichstdestotrotz ist auf allen von uns betreuten Systemen diese Sicherheitslücke seit 28.1.2015 geschlossen.

Weitere Informationen:

http://www.heise.de/security/meldung/Ghost-Uralte-Luecke-in-Glibc-bedroht-Linux-Server-2530159.html

http://blog.sucuri.net/2015/01/critical-ghost-vulnerability-released.html

WordPress 4.1

Kurz vor Weihnachten ist die nächste Version von WordPress veröffentlicht worden. Die neue Version bringt ein neues Standard-Theme sowie eine neue Editor-Ansicht mit. Danben gibt es eine Vielzahl kleinere Ergänzungen und Verbesserungen. Weitere Informationen z.B. unter:

http://www.heise.de/open/meldung/Wordpress-4-1-mit-neuem-Theme-2504093.html

Die meisten von uns betreuten WordPressinstallationen wurden bereits auf den neuesten Stand gebracht. Ebenso gibt es aktualisierte Versionen der bisherigen Standard-Themes, die ebenfalls installiert wurden.

Update WordPress: Revolution Slider

Eine Reihe von bekannten WordPress Themes verwendet das Plugin Revolution Slider für animierte Titelbilder, Bildergalerien und ähnliches und hat dieses Plugin als Lieferumfang eingebaut.

Anfang des Jahres wurde in dem Plugin eine Sicherheitslücke entdeckt, über die fremde Inhalte in ein WordPress Blog eingebaut werden können. Vom Hersteller wurde dieses Problem im Februar 2015 behoben, allerdings aktualisieren manche Themes dieses Plugin nicht.

Seit kurzem wird diese Sicherheitslücke im großen Stil durch einen Schädling namens SoakSoak ausgenutzt. s.a.

http://www.heise.de/newsticker/meldung/Schadcode-nutzt-Monate-alte-WordPress-Luecke-aus-2498327.html

Eine Überprüfung der von uns betreuten WordPress-Instanzen hat keine Installationen mit kritischen Versionen gezeigt, wir haben aber vorsichtshalber alle nicht aktuellen Plugin-Stände auf die neueste Version umgestellt.