Archiv für den Monat: Juli 2006

WordPress: Neue oder alte Sicherheitslücke? (Update 1-2)

von Stefan Evertz am 27.07.06 um 9:37 Uhr |

Der Schöpfer des Anti-Spam-Plugins „Spam Karma 2“ (unknowngenius.com/blog[1]), Dr. Dave, hat gestern vor einer generellen Sicherheitslücke in WordPress gewarnt, die mit der Benutzerverwaltung zusammenhängt (siehe auch unknowngenius.com/blog[2], englisch):

If you are running WordPress as your blogging platform and if you have been trusting enough to leave User registration enabled for guests, DISABLE IT IMMEDIATELY (in wp-admin >> options: make sure „Anyone can register“ is not checked).
Additionally, delete or disable ANY guest account already created by people you are not sure about.

Darren Browse berichtet ergänzend von einer eher beschwichtigenden Rückmeldung des WordPress-Chefentwicklers Matthew Mullenweg (siehe auch www.problogger.net, englisch):

Just spoke with Matt. He’s not aware of the issue and can’t tell by the post if it’s something worth being worried about or not – but he’s going to contact Dr Dave to see. He also mentioned that 2.0.4 will be out shortly and it could be something that is resolved in that upgrade. All seems to be in hand.

Und ich frage mich die ganze Zeit, ob es sich dabei möglicherweise um die bereits für WordPress 2.0.2 gemeldete Sicherheitslücke handelt, die eigentlich mit WordPress 2.0.3 behoben werden sollte. Falls die Sicherheitslücke weiterhin besteht, könnten Blogs, die das Plugin “Filosofo Enroll Comments” (oder ähnliche Plugins) benutzen, weiterhin durch die Sicherheitslücke betroffen sein, da das Plugin auf die Benutzerverwaltung von WordPress setzt

Ãœber sachdienliche Hinweise würde ich mich jedenfalls freuen 🙄

(via www.sichelputzer.de, da Mike offenbar häufiger als ich auf die News-Seite des Plugins schaut…)

Update 27.07.06, 12:50 Uhr
Die Faktenlage ist weiterhin unklar, da bisher keine „Stellungnahme“ der WordPress-Entwickler vorliegt. Besorgniserregend finde ich allerdings die Beobachtungen von CountZero unter www.4null4.de:

In the mean time, I was able to confirm the severity of this issue through mere sniffing through the WP sources. Gosh, I must admit that I never thought that WP could contain such a blatantly silly security error. I’m wondering why it hasn’t been exploited before!

Er hat – laut seinem Kommentar unter www.sichelputzer.de[2] – den Quelltext der WP 2.1alpha untersucht. Wenn das wirklich stimmen sollte, würde dies nicht nur eine heikle Sicherheitslücke offenbaren, sondern möglicherweise auch bedeuten, dass die ursprüngliche Sicherheitslücke in der Benutzerverwaltung nicht oder nur unzureichend geschlossen worden wäre 🙁

Warten wir also weiter – angesichts der aktuellen Uhrzeit in den Staaten (7 Uhr Ostküste) dürfte das allerdings noch einige Stunden dauern, denn auch Softwareentwickler sollen Gerüchten zufolge gelegentlich schlafen…

Update 28.07.06, 06:43 Uhr:
Dr. Dave hat mittlerweile in einem neuen Artikel auf die diversen Nachfragen reagiert – und stellt nebenbei (in Kommentar Nr. 10) richtig, dass sich die gemeldete Sicherheitslücke nicht auf WordPress-Versionen vor der aktuellen Version 2.0.3 bezieht (siehe auch unknowngenius.com/blog[2]:

Elliot: Please, call me a doofus, but at least give me enough credit that I wouldn’t suddenly post a panicky announcement regarding an exploit fixed two months and one version of WordPress ago.

Im deutschen WordPress-Forum war dann gestern nachmittag zu lesen, dass das Problem nicht mehr vorliegt (siehe auch forum.wordpress.de):

Ja, was Dave aufgetan hat ist ein generelles Problem! Das Problem ist in der aktuellen 2.0.4 (beta) allerdings schon behoben worden, bevor Dave es veröffentlicht hat.

In einem Kommentar auf http://www.problogger.net[2]: schreibt Dr. Dave gestern abend allerdings etwas anderes:

At the time this post was written, 2.0.4 included absolutely no fix for the problem whatsoever, and if there was a modicum of awareness among some devs (following the first notification), I would have to fiercely disagree with their initial estimate of the situation and the solutions they were considering bringing. Anyway, no need to panic, simply turn the damn option off and insure everybody else does the same until a tested fix is out.

Zum einen stellt sich daher nach wie vor die Frage: Wurde die alte Sicherheitslücke nicht behoben oder handelt es sich um eine weitere bzw. „neue“ Sicherheitslücke? Und falls es sich um eine „neue“ Sicherheitslücke handelt, wurde bzw. wird sie nun behoben?

Zum anderen irritiert mich etwas der – bei Dr. Dave und CountZero zwischen den Zeilen durchschimmernde bzw. unterstellte – grundsätzliche Umgang der WordPress-Kernentwickler mit den vermuteten Sicherheitslücken, der etwas an Microsoft erinnert. Aber vielleicht liegt das auch am – vor allem hitzebedingt – fehlenden Schlaf meinerseits 🙄

Hoffen wir also einfach mal, dass in Kürze die nächste WordPress-Version 2.0.4 erscheint und dieses Thema ein Ende hat…

Kennenlern-Stöckchen

von Stefan Evertz am 26.07.06 um 19:34 Uhr |

Robert hat mich – kurz nach meinem allerersten Stöckchen von Patrick (mehr zum Thema „Stöckchen“ siehe de.wikipedia.org) – mit einem zweiten Stöckchen beworfen (siehe www.basicthinking.de/blog). Nach einer „strukturbedingten“ Verzögerung habe ich mich nun entschlossen, zum zweiten und letzten Mal ein Stöckchen aufzuheben – hauptsächlich deshalb, weil ich vor allem die erste Frage seit dem Start dieses Blogs spannend und unlösbar zugleich finde.

Ein weiterer, durchaus interessanter Aspekt ist die vom Blog „Dons Tag“ ausgehende Idee, die Verbreitung des Stöckchens über einen „Stöckchentracker“ zu erfassen bzw. zu dokumentieren (siehe auch www.donvanone.de[1]; den Tracker gibt es unter www.donvanone.de[2]). Ein wenig erinnert diese Idee an das (nicht unumstrittene) „ping“-Feature in Firefox, das die Möglichkeit bieten soll, beim Anklicken eines Links ein „Ping“ an eine andere Adresse zu schicken. Auch wenn ich eine solche Funktion im Surf-Alltag schon aus Datenschutzgründen für grenzwertig halte, wäre es bei den „Link-Orgien“ innerhalb der Blogosphäre sicherlich manchmal hilfreich, die ursprüngliche Quelle identifizieren zu können. Aber das ist ein anderes Thema – nun zu den Fragen:

Warum bloggst du?
Spontan würde ich sagen: Weil es mir (immer noch) Spaß macht. Ich finde es nach wie vor schwierig, einen einzelnen konkreten Grund für die Bloggerei zu finden. Bei genauerer Betrachtung fallen mir aber zumindest verschiedene „Motivationen“ ein, die zu einem Blog-Artikel geführt haben:

  • Staunen (Interessante Dinge, die ich anderen nicht vorenthalten will)
  • Wissen teilen (Informationen und Erfahrungen, die anderen vielleicht weiterhelfen könnten)
  • Lachen (Amüsante Dinge)
  • Meckern (Dinge, die mich ärgern oder frustrieren)
  • Kommunizieren (Austausch und Vernetzung mit anderen)

Ursprünglich entstand das Blog aus dem Wunsch nach einer eigenen, gut strukturierten „Knowledge Base“, in der ich die diversen Fundstücke, Gedanken und Adressen bündeln wollte. Ein Blog scheint mir hier nach wie vor der beste Weg zu sein – an der „Struktur“ arbeite ich noch, auch wenn die „Tags“ (siehe auch „Hilfe„) schon mal ein guter Anfang sind 😉

Seit wann bloggst du?
Seit August 2005 – immer unter der gleichen Domain, aber mit unterschiedlichem „Motor“. Erst kam Serendipity (www.s9y.org) und wurde nach einem Ressourcenproblem (und aus Neugier) im Oktober 2005 durch b2evolution (b2evolution.net) abgelöst. Beglückt durch eine zunehmende Spamfülle kam dann im Mai der Wechsel zu WordPress (wordpress.org).

Eigentlich war dieses Blog als ein Gemeinschaftswerk gedacht und Evy hat auch eine ganze Weile mitgeschrieben. Aber mittlerweile haben doch meine Artikel „ein wenig“ die Oberhand gewonnen, so dass das Blog wohl irgendwann ganz zu meinem eigenen werden wird.

Selbstportrait?
Da ich im Zeichnen noch ziemlich viel Optimierungspotential habe, erspare ich euch meine Versuche 🙄 Stattdessen sei auf ein Bild meines Sohnes verwiesen, in dem ja – statistisch gesehen – etwa 50 % von mir wiederzufinden sind 😉

Warum lesen deine Leser deinen Blog?
Eine spannende Frage, auf die mir spontan nur „42“ als Antwort einfällt. Vielleicht gefällt meinen Lesern, worüber oder wie ich schreibe. Vielleicht liegt es auch an den „persönlichen“ Kontakten zu Lesern, die sie wiederkommen lassen. Ich weiß es nicht. Auch nach einem (knappen) Jahr bin ich jedenfalls immer noch erstaunt und erfreut, dass es überhaupt jemand interessiert, was ich hier schreibe und treibe.

Aber vielleicht ist das ja auch eine Gelegenheit: Wenn ihr mir verraten wollt, warum ihr hier mitlest, findet ihr das Kommentarformular unten auf dieser Seite 😉

Welche war die letzte Suchanfrage, über die jemand auf deine Seite kam?
„abschied wm 2006 download“ (Da wollte ich gaaanz aktuell sein – und habe es dann erstmal verschwitzt :roll:)

Welcher deiner Blogeinträge bekam zu Unrecht zu wenig Aufmerksamkeit?
Ich würde sagen, dass dies vor allem für die „Meckerbeiträge“ gilt. Ich kann mir z.B. nicht vorstellen, dass ich der einzige bin, der sich über manche Auswüchse der Fernsehwerbung ärgert. Die manchmal etwas karge Resonanz ändert jedenfalls nichts an der „reinigenden“ Wirkung solcher Artikel 😉

Dein aktueller Lieblings-Blog?
Nach wie vor das Blog von Robert Basic (Basic Thinking Blog), weil ich dort seit meinen allerersten „Blog-Schritten“ viele Dinge finde, die mich interessieren und über die ich im Zweifelsfall selber bloggen würde (und auch schon gebloggt habe). Und auch die Mischung aus ernsten und weniger ernsten Dingen gefällt mir – anders wäre die durchschnittliche tägliche Beitragsflut wohl auch kaum zu verkraften 😉

Welchen Blog hast du zuletzt gelesen?
Als letztes: Roberts „Nachhaker“ (siehe auch www.basicthinking.de/blog[2]). Der Begriff „Lesen“ passt aber insgesamt weniger als das „Scannen“ des Feedreaders mit den etwa 150 Feeds. Im Kern dürften es aber so etwa 30-40 Blogs sein, die ich intensiver „im Blick“ habe. Das erinnert mich daran, dass ich schon länger eine erweiterte „Blogroll“ zusammenstellen wollte – aber man muß ja noch Ziele haben 😕

An welche vier Blogs wirfst du das Stöckchen weiter und warum?
Da dieses Stöckchen schon seit zwei Tagen fliegt, haben zahlreiche potentielle Empfänger schon zugegriffen 🙁 Deshalb werfe ich das Stöckchen an die folgenden Blogger weiter, auch wenn ich mir gerade nicht sicher bin, ob sie Zeit und Lust haben, es zu fangen 🙄

Und jetzt versuche ich mich mal an dem Stöckchentracker 😉

ARD: Tour Interruptus

von Stefan Evertz am 23.07.06 um 19:41 Uhr |

Nachdem die ARD von der diesjährigen Tour de France 10 der 21 Etappen live übertragen hat – und in den etwas langatmigeren Rennpassagen so schöne Details wie die 60 Tonnen Farbe für den Eiffelturm („alle 7 Jahre wird gestrichen“) oder die Entstehung des Roquefort-Käse („da wurde ein Käse im Kloster-Keller vergessen“) aus dem Fernseher perlten, durfte ich eben ein ausgesprochen ruppiges Ende erleben:

Wegen der anschließend vorgesehenen Übertragung eines DTM-Laufes gab es noch den Sieger der Etappe beim Überqueren der Ziellinie, ein kurzes Abschiedswort der Kommentatoren bzw. Moderatoren und vorbei war es.

Nach geschätzten 30 Stunden der ARD-Livebilder und insgesamt etwa 3.500 gefahrenen Kilometern durfte der geneigte Zuschauer auf die wenigen Minuten der Siegerehrung verzichten. Die gibt es dann wohl erst heute abend in der Tagesschau.

Ob die Sponsoren der Teams oder die geehrten Sportler das so witzig finden, sei mal dahingestellt. Die Fernsehzuschauer konnten jedenfalls einmal mehr erleben, wie gut die GEZ-Gebühren investiert sind. Mein spezieller Dank gilt daher der ARD für diese eindrucksvolle Demonstration 👿

Hitze-Tipps

von Stefan Evertz am 23.07.06 um 15:49 Uhr |

Wenn man den Wetterprognosen (und meinem Außenthermometer) glaubt, werden die nächsten Tage noch heißer als die bisherigen schweißtreibenden Wochen. Und somit wird es also Zeit für einige Tipps zum Thema „Hitze-Management“:

  • „The day after tomorrow“ ansehen (siehe auch german.imdb.com / www.ofdb.de) – statt Popcorn-Kino also „Eiswürfel-Kino“. All das Eis und der Schnee im Film kühlen wirklich ein wenig ab, wie wir bei einem Test letzte Woche feststellen konnten 😉 Und das Frösteln über den Plot an sich („Versiegender Golfstrom sorgt für neue Eiszeit“) mag ebenfalls helfen 🙄
  • Desweiteren habe ich die Wunderwaffe meiner Kindertage gegen Hitze wiederentdeckt: Das Wassereis. Die schmalen „Eisstäbchen“ gibt es weiterhin jedenfalls beim Einzelhändler meines Vertrauens im Zehnerpack. Mein Erfrischungstipp: Zwei Eis hintereinander – von so etwas dekadentem hätte ich als Kind nur geträumt 😈
  • Als letztes Mittel gegen die Hitze gibt es dann immer noch die „elektrische“ Variante: Die Klimaanlage. Ohne dieses Wunderwerk der Technik hätte ich es hier im Büro wohl gar nicht mehr ausgehalten. Und deshalb soll auf diesem Wege Willis H. Carrier, dem Erfinder der „Aircon“ (siehe auch en.wikipedia.org, englisch), ein Denkmal gesetzt werden:

    Willis H. Carrier - Thank you for the aircon

    (Denkmal generiert mit dem „Grabstein Generator“ unter www.jjchandler.com/tombstone, gefunden bei www.im-web-gefunden.de)

    • Und auch wenn man eigentlich warme Getränke zu sich nehmen soll, setze ich mich jetzt mit einer eisgekühlten Apfelschorle raus – wenn wohl auch nur kurz. Denn wer weiß, wieviele dieser richtigen Sommertage uns noch bleiben 😕