Um Schwachstellen zu beseitigen, sind für die Content-Management-Systeme WordPress und Plone Sicherheits-Updates erschienen. Anwendern mit Contributor- oder Autoren-Rechten nimmt WordPress 3.0.5 zwei Möglichkeiten, unberechtigt ihre Zugriffsrechte auf dem System auszuweiten.

Auch ein Fehler, mit dem sich Inhalte von Meldungen anzeigen ließen, die für bestimmte Anwendergruppen nicht hätten einsehbar sein sollen, wurde korrgiert. Ausserdem gab es funktionale Sicherheitsverbessserungen, etwa bei Plug-ins, die die WordPress-API nicht wie vorgesehen benutzen.

Angreifer können durch eine Lücke in Plone 2.5, 3.0, 3.1, 3.2, 3.3 und 4.0 ohne gültiges Benutzerkonto an Administratorrechte gelangen. Damit ist nach Angaben der Entwickler jedoch kein Zugriff auf das zugrunde liegende Zope-System oder weitere, parallel laufende Anwendungen möglich.

Ein Hotfix soll die Lücke schließen. Anwender sollten diesen so schnell wie möglich installieren. Die Entwickler schlagen alternativ vor, Logins zu deaktivieren oder zu blockieren oder die Datenbank auf "nur lesbar" umzustellen.

(ez, hannover)

(siehe auch Heise News-Ticker :)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE