WordPress 4.9.7 schließt kritische Lücke

Am Donnerstag wurde WordPress 4.9.7 veröffentlicht. Ziemlich überraschend, da wenige Tage vorher im Entwickler-Blog noch nichts von einer kurz bevorstehenden Veröffentlichung zu lesen war. Warum also diese offensichtlich eilige Freigabe?

Der Grund für die Überraschung ist schnell gefunden. Die bisher geplanten Änderungen für #wpversion 4.9.7 wurden auf Version 4.9.8 verschoben und ein dringendes Sicherheitsupdate eingeschoben.  Als Termin für die Veröffentlichung der finalen Version 4.9.8 ist derzeit der 31. Juli geplant.

Aus dem Entwickler-Blog lässt sich entnehmen, dass das alles sehr kurzfristig passiert ist. Offensichtlich geht es um ein Sicherheitsproblem, das als sehr kritisch eingestuft wurde, und daher dringend behoben werden musste.

Bei genauerem Hinsehen handelt es sich dabei um eine Sicherheitslücke, die angeblich aber schon seit sieben Monaten bekannt sein soll und über die ich vor einer Woche bereichtet habe. Warum die jetzt plötzlich als so dringend eingestuft wurde, dass innerhalb von zwei Tagen ein Zwischenrelease eingeschoben wurde, erschließt sich nicht ganz.

Meine Vermutung ist, dass das eine Reaktion auf die mediale Aufmerksamkeit, die das Problem in den letzten Tagen erfahren hat, ist. Dabei bin ich persönlich nach wie vor der Meinung, dass die beschriebene Sicherheitslücke zwar ein ernsthaftes Problem ist, das tatsächliche Risiko aber eigentlich vernachlässigbar ist.

Wie dem auch sei und warum auch immer jetzt so übereilt reagiert wurde – die Lücke ist damit geschlossen und die #sicherheit von WordPress wurde damit weiter verbessert. Gleichzeitig wurden mit dem neuen Release noch ein paar weitere Bugs behoben.

Als Fokus der kommenden Version 4.9.8 wird die prominent platzierte Einladung zum Test des künftigen Editors #gutenberg im Entwickler-Blog genannt, über die ich in meinem letzten Artikel berichtet habe.