goneo Blog

Ganze 46 Bugfixes und Patches sind in das WordPress-Release 5.3.1 eingeflossen. Nun ist nur eineinhalb Tage später gleich das nächste Update mit der Nummer 5.3.2 hinterhergeschoben worden. Wichtig sind in 5.3.1 vier korrigierte Sicherheitsprobleme:

• User ohne entsprechende Berechtigung konnten einen Post „sticky“ machen, so dass dieser stets oben angezeigt wurde. Dies war über die REST API mnöglich.
• Cross-Site-Scripting (XSS)-Angriffe waren mit „well-crafted“, also entsprechend präparierten Links möglich.
• Das wp_kses_bad_protocol() hat ein Update erfahren und wurde gegen Angriffe gehärtet.
• Mit dem Block Editor und gespeicherten Inhalten waren unter Umständen ebenfalls XSS-Angriffe machbar.

Ansonsten gab es auch einige Fixes, die eher in die Kategorie „Stabilisierung“ fallen und nicht sicherheitsrelevant sind:

• Verbesserung bei der Verwaltung von Form (Höhen- und Anordnungs-Kontrolle)
• Ergänzung des entsprechenden Dashboard -Widgets durch einen Links zur Verwaltung eines alternativen Farbschemas (bessere Zugänglichkeit)
• Lösung von Javascript-Problemen bein Edge-Scrolling
• Bei gebundleten Themes kann man nun entscheiden, ob die Autoreninfos (Bio) angezeigt werden sollen.
• Das Javascript-basierte smooth Scrolling wurde nun auf CSS umgestellt.
• Beseitigung von CSS-Darstellungsproblemen bei Einbettungen von Instagram-Elementen
• Verbesserung der Berechnung und Darstellung von nicht-GMT-Datenangaben
• Stabilisierung der make get_permalink()-Funktion bei Zeitzonenänderungen in PHP
• Entfernung von CollegeHumor (oEmbed Provider) – diesen Service gibt es nicht mehr
• Update der sodium_compat-Bibliothek (Krypto-Funktionen in PHP)
• Verbesserung bei Site Health: Die Intervalangaben für Erinnerungen per Mail können nun gefiltert werden
• Gleichnamige Thumbnail-Uploads überschreiben nun keine existierenden Dateien mehr
• Bilder im PNG-Format werden von einer automatischen Skalierung nach Upload ausgenommen.
• Die Administration der E-Mail-Prüfung bezieht sich nun auf die Userangaben, nicht auf die hinterlegte Variable für die Website.

Wenn die automatische Updatefunktion nicht abgeschaltet ist, werden existierende WordPress-Installationen dieses Release automatisch einspielen. Wer sichergehen will, überprüft auf dem WordPress-Dashboard die Installation. Dort lässt sich ein Updatelauf jederzeit auch manuell anstoßen.

Nun folgt eine weiteres „Maintenance Update“, wie wordPress.org sich ausdrückt, mit der Nummer 5.3.2:

• get_feed_build_date() korrigiert fehlerhafte Daten besser
• Bei Uploads ist die Handhabung bei Namenskolissionen von Dateien verbessert worden (in wp_unique_filename() )- Probleme traten wohl auf, wenn Groß- und Kleinschreibung verwendet wurde, aber das Dateisystem dies nicht unterscheidet.
• Im Media-Manager wurde ein Problem in Verbindung mit PHP-Warnmeldungen in wp_unique_filename() gelöst (wenn das Zielverzeichnis nicht lesbar ist)
• Ein Farbschemaproblem, das in Verbindung mit Buttons in der .active class auftrat, ist korrigiert
• Bei wp_insert_post() wird der Unterschied zweier Versionen (bei Veröffentlichungsterminen in der Zukunft) nun korrekt berechnet.