WordPress: Neue oder alte Sicherheitslücke? (Update 1-2)

von Stefan Evertz am 27.07.06 um 9:37 Uhr |

Der Schöpfer des Anti-Spam-Plugins “Spam Karma 2″ (unknowngenius.com[1]), Dr. Dave, hat gestern vor einer generellen Sicherheitslücke in WordPress gewarnt, die mit der Benutzerverwaltung zusammenhängt (siehe auch unknowngenius.com[2], englisch):

If you are running WordPress as your blogging platform and if you have been trusting enough to leave User registration enabled for guests, DISABLE IT IMMEDIATELY (in wp-admin >> options: make sure “Anyone can register” is not checked).
Additionally, delete or disable ANY guest account already created by people you are not sure about.

Darren Browse berichtet ergänzend von einer eher beschwichtigenden Rückmeldung des WordPress-Chefentwicklers Matthew Mullenweg (siehe auch www.problogger.net, englisch):

Just spoke with Matt. He’s not aware of the issue and can’t tell by the post if it’s something worth being worried about or not – but he’s going to contact Dr Dave to see. He also mentioned that 2.0.4 will be out shortly and it could be something that is resolved in that upgrade. All seems to be in hand.

Und ich frage mich die ganze Zeit, ob es sich dabei möglicherweise um die bereits für WordPress 2.0.2 gemeldete Sicherheitslücke handelt, die eigentlich mit WordPress 2.0.3 behoben werden sollte. Falls die Sicherheitslücke weiterhin besteht, könnten Blogs, die das Plugin “Filosofo Enroll Comments” (oder ähnliche Plugins) benutzen, weiterhin durch die Sicherheitslücke betroffen sein, da das Plugin auf die Benutzerverwaltung von WordPress setzt

Über sachdienliche Hinweise würde ich mich jedenfalls freuen :roll:

(via www.sichelputzer.de, da Mike offenbar häufiger als ich auf die News-Seite des Plugins schaut…)

Update 27.07.06, 12:50 Uhr
Die Faktenlage ist weiterhin unklar, da bisher keine “Stellungnahme” der WordPress-Entwickler vorliegt. Besorgniserregend finde ich allerdings die Beobachtungen von CountZero unter www.4null4.de:

In the mean time, I was able to confirm the severity of this issue through mere sniffing through the WP sources. Gosh, I must admit that I never thought that WP could contain such a blatantly silly security error. I’m wondering why it hasn’t been exploited before!

Er hat – laut seinem Kommentar unter www.sichelputzer.de[2] – den Quelltext der WP 2.1alpha untersucht. Wenn das wirklich stimmen sollte, würde dies nicht nur eine heikle Sicherheitslücke offenbaren, sondern möglicherweise auch bedeuten, dass die ursprüngliche Sicherheitslücke in der Benutzerverwaltung nicht oder nur unzureichend geschlossen worden wäre :(

Warten wir also weiter – angesichts der aktuellen Uhrzeit in den Staaten (7 Uhr Ostküste) dürfte das allerdings noch einige Stunden dauern, denn auch Softwareentwickler sollen Gerüchten zufolge gelegentlich schlafen…

Update 28.07.06, 06:43 Uhr:
Dr. Dave hat mittlerweile in einem neuen Artikel auf die diversen Nachfragen reagiert – und stellt nebenbei (in Kommentar Nr. 10) richtig, dass sich die gemeldete Sicherheitslücke nicht auf WordPress-Versionen vor der aktuellen Version 2.0.3 bezieht (siehe auch unknowngenius.com[2]:

Elliot: Please, call me a doofus, but at least give me enough credit that I wouldn’t suddenly post a panicky announcement regarding an exploit fixed two months and one version of WordPress ago.

Im deutschen WordPress-Forum war dann gestern nachmittag zu lesen, dass das Problem nicht mehr vorliegt (siehe auch forum.wordpress.de):

Ja, was Dave aufgetan hat ist ein generelles Problem! Das Problem ist in der aktuellen 2.0.4 (beta) allerdings schon behoben worden, bevor Dave es veröffentlicht hat.

In einem Kommentar auf www.problogger.net: schreibt Dr. Dave gestern abend allerdings etwas anderes:

At the time this post was written, 2.0.4 included absolutely no fix for the problem whatsoever, and if there was a modicum of awareness among some devs (following the first notification), I would have to fiercely disagree with their initial estimate of the situation and the solutions they were considering bringing. Anyway, no need to panic, simply turn the damn option off and insure everybody else does the same until a tested fix is out.

Zum einen stellt sich daher nach wie vor die Frage: Wurde die alte Sicherheitslücke nicht behoben oder handelt es sich um eine weitere bzw. “neue” Sicherheitslücke? Und falls es sich um eine “neue” Sicherheitslücke handelt, wurde bzw. wird sie nun behoben?

Zum anderen irritiert mich etwas der – bei Dr. Dave und CountZero zwischen den Zeilen durchschimmernde bzw. unterstellte – grundsätzliche Umgang der WordPress-Kernentwickler mit den vermuteten Sicherheitslücken, der etwas an Microsoft erinnert. Aber vielleicht liegt das auch am – vor allem hitzebedingt – fehlenden Schlaf meinerseits :roll:

Hoffen wir also einfach mal, dass in Kürze die nächste WordPress-Version 2.0.4 erscheint und dieses Thema ein Ende hat…

Schlagwörter: , , ,

4 Gedanken zu „WordPress: Neue oder alte Sicherheitslücke? (Update 1-2)

  1. Pingback: 4null4.de - Sarcasm's paradise

  2. Pingback: Tom's Diner

  3. Pingback: hirnrinde.de - was in unseren Köpfen herumspukt...

  4. Pingback: hirnrinde.de - was in unseren Köpfen herumspukt...

Kommentare sind geschlossen.