Podlove Publisher Security Update 4.5.2

Dringendes Sicherheits-Release. Bitte sofort aktualisieren.

WordPress zeigt gerade Plugin Updates erst ~24h nach Verfügbarkeit an. Falls das Update in der Plugin-Übersicht nicht zu sehen ist, manuell installieren:

  1. Auf https://wordpress.org/plugins/podlove-podcasting-plugin-for-wordpress/ per „Download“ zip runterladen
  2. In WordPress Plugins > Plugin hinzufügen > Plugin hochladen
  3. zip auswählen und „Jetzt installieren“ klicken

Wir haben Uberspace vorab informiert (danke für die Zusammenarbeit!). Wer dort hostet, ist vor dem Exploit auch ohne Update geschützt. Trotzdem aktualiseren!

10 „Gefällt mir“

Vielen Dank für die Info!

Falls ihr bei Uberspace hostet, die haben eine mitigation implementiert, dennoch solltet ihr schnellstmöglich Update.

https://uberspace.social/@ubernauten/116875030332170708#.

Erst recht wenn ihr nicht bei Uberspace seid :smiley:

Hab ihr mal bei Wordpress nachgefragt ob man in solchen Fällen auch dieses 24h Ding umgehen kann? War schon echt verwundert das es da keinen Force-Update Knopf oder sowas gibt und musste in meinem Ngnix+php.ini erst mal erlauben das so große ZIP Files überhaupt hochgeladen werden können :see_no_evil_monkey:

Ja kann man, habe ich auch gemacht (allerdings erst beim Release weil ich die falsche Annahme hatte, dass das nur das auto-update Feature betrifft). Habe tatsächlich innerhalb weniger Stunden die Antwort bekommen, dass es freigeschaltet sei — war es aber nicht. Habe dann nicht noch mal nachgehakt weil zu dem Zeitpunkt schon über ein halber Tag rum war.

2 „Gefällt mir“

Bei mir wurde es nicht angezeigt bis ich WP von 6.9 auf 7.0 aktualisiert hatte. Danach lief das Podlove Update automatisch durch … fand ich auch komisch :thinking:

Ich habe eben Hinweis von meinem Hoster bekommen, dass in zwei Podlove-Installationen unter wp-content/cache/podlove Malware liegt. Beide Installationen hatte ich innerhalb weniger Stunden nach Eriks Post hier neulich aktualisiert. Vermutlich war selbst das zu spät.

Hoster erkennen die Malware ggf. auch, wenn sie für den Angreifer nicht nützlich sind. Der Patch verhindert nicht das Herunterladen von Dateien ins System (das ist Sinn und Zweck des ganzen, Bilddateien die auf z.B. einem FTP liegen, in WordPress zu ziehen, verkleinern, etc.). Nur dass sie nicht ausführbar sind und damit für den Angreifer unnütz. Die Hoster erkennen und bemängeln die bösartige Datei dennoch.

Bin am überlegen, wie ich das ganze grundsätzlich besser hinbekomme. Ist knifflig.

1 „Gefällt mir“