Nachgereicht: TYPO3 und WordPress
Kommentare

In der letzten Woche des Jahres 2010 hat sich einiges getan; Grund genug, das noch junge neue Jahr damit zu beginnen, einige Informationen zu zwei beliebten Open-Source-Systemen nachzureichen: das TYPO3-Projekt

In der letzten Woche des Jahres 2010 hat sich einiges getan; Grund genug, das noch junge neue Jahr damit zu beginnen, einige Informationen zu zwei beliebten Open-Source-Systemen nachzureichen: das TYPO3-Projekt und WordPress.

TYPO3 mit neuen Versionen

Die letzten Security-Updates von TYPO3 machten es nötig, einige Funktionalitäten des beliebten Content-Management-Systems einzuschränken. Mit den Versionen 4.2.17, 4.3.10 und 4.4.6 werden diese Probleme nun angegangen:

Since the latest security releases contained (non-security related) regressions and some features were not usable anymore, these new releases aim to be stable packages again.Oliver Hader, 2010

Die aktuellen Versionen findet man wie gewohnt auf der offiziellen Download-Seite.

Dort findet man übrigens auch die dritte Beta von TYPO3 4.5 – mit zahlreichen Neuerungen und Änderungen sowie einem traurigen Verlust; der File Abstraction Layer ist nämlich nicht mehr mit von der Partie. Sein Auftritt wurde auf den Release von TYPO3 4.6 verschoben.

Auf der Haben-Seite befindet sich hingegen das auf den aktuellsten Stand des FLOW3-Frameworks gebrachte Caching-Framework, eine komplett überarbeitete Syntax im Scheduler sowie die neuen Workspaces, Version und Extension Manager, die jeweils zahlreiche Bugfixes erhalten haben.

WordPress mit Sicherheitsleck

Für einigen Wirbel sorge die Meldung über ein von Matt Mullenweg persönlich als kritisch eingestuftes Sicherheitsleck in WordPress 3:

Version 3.0.4 of WordPress (…) is a very important update to apply to your sites as soon as possible because it fixes a core security bug in our HTML sanitation library, called KSES. I would rate this release as „critical.“Matt Mullenweg, 2010

Doch kaum stand Version 3.0.4 zum Download bereit, gab es erste Meldungen über einen Exploit: Stored XSS (via Editor Role) – der inzwischen jedoch wieder aus der Exploit Database entfernt wurde.

Andrew Nacin rückte die Fakten in diesem Fall zurecht: The dead giveaway was the title: „via Editor role.“ In WordPress, users with the role of Editor or Administrator have the ability to post unfiltered HTML. It has always been like this.

In seinem Blogpost The published exploit for WordPress 3.0.4 isn’t accurate stellt er eine Lösung vor, wie man generell ungefilterte Eingaben unterbinden kann.

Ende gut, alles gut? Laut Nacin schon, denn er ist sich sicher: This all said, there are currently no known vulnerabilities for WordPress 3.0.4.

Die aktuellen Security-Fixes sind übrigens auch in den zweiten Release Candidate von WordPress 3.1 eingeflossen, der darüber hinaus mit ein paar weiteren Dutzend Bugfixes glänzt.

Unsere Redaktion empfiehlt:

Relevante Beiträge

Meinungen zu diesem Beitrag

X
- Gib Deinen Standort ein -
- or -