1. Herzlich willkommen bei WPDE.org, dem grössten und ältesten deutschsprachigen Community-Forum rund um das Thema WordPress. Du musst angemeldet oder registriert sein, um Beiträge verfassen zu können.
    Information ausblenden

WordPress 6.2.1 Release mit Fixes für insges. 5 Sicherheitsrisiken

Dieses Thema im Forum "Allgemeines" wurde erstellt von suedtiroler, 17. Mai 2023.

  1. suedtiroler

    suedtiroler Well-Known Member

    Registriert seit:
    5. März 2021
    Beiträge:
    341
    Zustimmungen:
    50
    WordPress 6.2.1 wurde heute veröffentlicht. Diejenigen, die automatische Hintergrundaktualisierungen aktiviert haben, sollten in ihrer E-Mail einen Hinweis sehen, da die Aktualisierungen heute früher eingeführt wurden.

    Ein neuer Artikel auf WPTavern macht bekannt: (vgl. Link unten) WordPress 6.2.1 - dies ist eine Wartungs- und Sicherheitsversion, die wichtige Korrekturen für fünf Sicherheitslücken enthält,die vom Core-Contributor und Release-Co-Leiter Jb Audras beschrieben wurden: Die Sicherheitslücken im Detail:

    Blockiert die Themes, die Shortcodes in benutzergenerierten Daten analysieren;
    Ein CSRF-Problem beim Aktualisieren der Miniaturansichten von Anhängen;
    Ein Fehler, der XSS über die automatische Open-Embed-Erkennung ermöglicht;
    Umgehung der KSES-Bereinigung in Blockattributen für Benutzer mit geringen Berechtigungen;
    Ein Pfaddurchquerungsproblem über Übersetzungsdateien;

    Die Patches wurden auf WordPress 4.1 zurückportiert. Da diese Schwachstellen nun öffentlich sind, wird Benutzern empfohlen, sofort ein Update durchzuführen. WordPress 6.2.1 enthält außerdem 20 Kernfehlerkorrekturen und 10 Korrekturen für den Blockeditor, alle detailliert mit Ticketnummern im Release Candidate-Beitrag (vgl. Link unten)


    weitere Daten und Infos:

    der Artikel auf WP-Tavern: https://wptavern.com/wordpress-6-2-1-released-with-fixes-for-5-security-vulnerabilities
    WP-News zum Thema: https://wordpress.org/news/2023/05/wordpress-6-2-1-maintenance-security-release/
    release-candidate-post: https://make.wordpress.org/core/2023/05/09/wordpress-6-2-1-rc1-is-now-available/
     
    #1 suedtiroler, 17. Mai 2023
    Zuletzt bearbeitet: 17. Mai 2023
  2. b3317133

    b3317133 Well-Known Member

    Registriert seit:
    21. November 2014
    Beiträge:
    11.660
    Zustimmungen:
    1.783
    Im Original heisst es:
    Und das bedeutet, dass in Block Themes ggf. vorhandene Shortcode Blöcke einfach nicht mehr funktionieren.

    Das hat grosses Chaos ausgelöst, aktuelle Diskussion z.B. im WordPress Core Ticket #58333 (inkl. mit der heissen Nadel gestrickte Workarounds) oder hier im WordPress.org Support Forum.
     
    #2 b3317133, 17. Mai 2023
  3. b3317133

    b3317133 Well-Known Member

    Registriert seit:
    21. November 2014
    Beiträge:
    11.660
    Zustimmungen:
    1.783
    #3 b3317133, 18. Mai 2023
  4. threadi

    threadi Well-Known Member

    Registriert seit:
    9. Oktober 2020
    Beiträge:
    2.003
    Zustimmungen:
    402
    Von dem dort empfohlenen Rollback auf 6.2 würde ich abraten. Es hat schon seinen Grund wieso ein Sicherheitsfix veröffentlicht wurde ..
     
    #4 threadi, 18. Mai 2023
  5. b3317133

    b3317133 Well-Known Member

    Registriert seit:
    21. November 2014
    Beiträge:
    11.660
    Zustimmungen:
    1.783
    Hast Du mehr Informationen zu diesem "seinen Grund"? Was genau ist das technische Problem? Leider gibt es dazu derzeit keinerlei Angaben so dass eine Einordnung der Wichtigkeit dieses "Sicherheitsfixes" sehr schwer ist.

    Und was wäre eine alternative Empfehlung für aktuell nicht mehr funktionierende WordPress 6.2.1 Websites mit Block Themes und Shortcodes? Offline gehen? Auf ein Classic Theme umstellen?
     
    #5 b3317133, 18. Mai 2023
  6. threadi

    threadi Well-Known Member

    Registriert seit:
    9. Oktober 2020
    Beiträge:
    2.003
    Zustimmungen:
    402
    Der Grund ist weiterhin nicht öffentlich, wurde auch im gestrigen Slack-Dev-Chat nochmals erwähnt. Innerhalb des Security- und Editor-Teams wird derzeit das weitere Vorgehen besprochen, auch um eine möglicherweise Alternative Lösung für eine schnelle 6.2.2 zu finden.

    Und aus genau diesem Grund müssten Betroffene noch etwas Geduld haben. Es lohnt sich imho nicht irgendetwas zu überstürzen. Ich würde eher die weiteren Entscheidungen abwarten. Denjenigen die daran beteiligt sind ist die Dringlichkeit durchaus bewusst.

    Ich kenne btw. nicht ein einziges Projekt was betroffen ist und diejenigen die sich bis gestern im WordPress-Supportforum und Trac gemeldet hatten kann man auch an 2 Händen abzählen. Viele werden sich aber auch gar nicht melden oder gar nicht merken, dass sie betroffen sind ..
     
    #6 threadi, 18. Mai 2023
  7. threadi

    threadi Well-Known Member

    Registriert seit:
    9. Oktober 2020
    Beiträge:
    2.003
    Zustimmungen:
    402
    Im Ticket wurde der Grund für die Änderung inzwischen beschrieben. Der FSE hat bisher nach Zusammenstellung des gesamten Quellcodes der auszugebenden Seite die darin enthaltenen Shortcodes ausgeführt. Dadurch war es möglich, dass z.B. ein Kommentar zu einem Post einen Shortcode enthält der dann auch ausgeführt wurde. Das stellt das potentielle Sicherheitsrisiko dar. Bei Klassik-Themes passiert das nicht da dort Shortcodes nur bei Inhalten von dafür berechtigten Nutzern ausgeführt werden (z.B. vom post_content).

    Lösungen wurden im Ticket auch schon angesprochen, aber keine davon ist wirklich gut geeignet imho. Man muss ohnehin darauf warten was das Sicherheits- und Editor-Team dazu veröffentlichen - was wohl "demnächst" passieren soll.
     
    #7 threadi, 18. Mai 2023
  8. r23

    r23 Well-Known Member

    Registriert seit:
    9. Dezember 2006
    Beiträge:
    7.345
    Zustimmungen:
    587
    Die einen betrachten es als Sicherheitsrisiko und ich als fehlende Funktion. Bei einer sinnvollen und erwünschten Diskussion ist meiner Meinung nach die Einbindung von Multimedia - Inhalten wünschenswert und notwendig.

    https://de.wikipedia.org/wiki/Multimedia

    Aber die Möglichkeit ist jetzt in 6.2.2 genommen. Wir nennen es Zukunft...
     
    #8 r23, 20. Mai 2023
  9. suedtiroler

    suedtiroler Well-Known Member

    Registriert seit:
    5. März 2021
    Beiträge:
    341
    Zustimmungen:
    50
    Moinsen,

    @b33171133

    follow-up: hab ich auch gelesen - klaro panta rhei (altgriechisch πάντα ῥεῖ ‚alles fließt' -m.a.W. - die Entwicklung hört nie auf.

    Danke für die Ergänzungen...
     
    #9 suedtiroler, 20. Mai 2023
  10. SEpp55

    SEpp55 Well-Known Member

    Registriert seit:
    3. Februar 2016
    Beiträge:
    3.141
    Zustimmungen:
    591
    wie du schreibst, "alles fließt", dabei geht einiges den Bach runter, aber was solls, alle weden zwangsbeglückt ;)
    Dem WP-Team waren einfach zu viele Page-Builder-Nutzer ein Dorn im Auge - Weichen neu gestellt und schon beginnt die lustige Fahrt wie mit mit der WordPress-Geisterbahn, bei jeder Gelegenheit irgend ein Gespenst.
     
    #10 SEpp55, 20. Mai 2023
    DummyGirl gefällt das.
  11. Gast 100035

    Gast 100035 Gast

    Denen werde ich also für immer und ewig einer dieser Dorne im Auge sein. So sehr ich mich auch bemühe, meinen PageBuilder kann WPs Gutenberg nicht ersetzen
     
    #11 Gast 100035, 21. Mai 2023
    DummyGirl gefällt das.
(Du musst angemeldet oder registriert sein, um Beiträge verfassen zu können. )
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Akzeptieren Weitere Informationen...
    Information ausblenden
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Akzeptieren Weitere Informationen...
    Information ausblenden