1. Herzlich willkommen bei WPDE.org, dem grössten und ältesten deutschsprachigen Community-Forum rund um das Thema WordPress. Du musst angemeldet oder registriert sein, um Beiträge verfassen zu können.
    Information ausblenden

[WP 2.0.1] Sicherheitslücken im Blog-System Wordpress

Dieses Thema im Forum "Allgemeines" wurde erstellt von KiNGU, 2. März 2006.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. KiNGU

    KiNGU Well-Known Member

    Registriert seit:
    2. Mai 2005
    Beiträge:
    227
    Zustimmungen:
    0
    http://www.heise.de/newsticker/meldung/70263

    http://neosecurityteam.net/index.php?action=advisories&id=17
     
  2. blodvitne

    blodvitne Well-Known Member

    Registriert seit:
    23. September 2005
    Beiträge:
    46
    Zustimmungen:
    0
    vll koennen die profis hier einen schnellen workaround mal mitteilen. danke.
     
  3. TheDude

    TheDude Member

    Registriert seit:
    16. Februar 2006
    Beiträge:
    9
    Zustimmungen:
    0
    Der Workaround wird ja im Artikel genannt: htmlentities(trim()). Oder eben alle Kommentare erstmal prüfen und dann erst freigeben.

    Das mit den fehlenden htmlentities() halte ich ja für eine dicken Hund. Wer macht denn solche Anfängerfehler.

    Gruß, The Dude
     
  4. lynk

    lynk Active Member

    Registriert seit:
    3. Dezember 2005
    Beiträge:
    42
    Zustimmungen:
    0
  5. blodvitne

    blodvitne Well-Known Member

    Registriert seit:
    23. September 2005
    Beiträge:
    46
    Zustimmungen:
    0
    bin kein hacker / programmierer. deshalb waere ein genaue anleitung in welcher datei man was genau veraendern muss von vorteil.
     
  6. Olaf

    Olaf WPDE-Team
    Mitarbeiter

    Registriert seit:
    3. September 2004
    Beiträge:
    2.740
    Zustimmungen:
    41
    #6 Olaf, 2. März 2006
    Zuletzt bearbeitet: 2. März 2006
  7. theFRAGGLE

    theFRAGGLE Member

    Registriert seit:
    14. Februar 2006
    Beiträge:
    19
    Zustimmungen:
    0
    Ist doch alles genau beschrieben:

     
  8. KiNGU

    KiNGU Well-Known Member

    Registriert seit:
    2. Mai 2005
    Beiträge:
    227
    Zustimmungen:
    0
  9. web-junkies

    web-junkies Well-Known Member

    Registriert seit:
    7. Juli 2005
    Beiträge:
    123
    Zustimmungen:
    0
    Frage: "Macht der Workaround in der Form wirklich Sinn?" Ich habe leider nicht so die Ahnung davon, im Heise-Forum habe ich allerdings gelesen, dass bei Anwendung der Änderungen keine Links in den Kommentaren mehr möglich sind. Das wiederum wäre natürlich auch nicht so schön.
     
  10. Monika

    Monika Well-Known Member
    Ehrenmitglied

    Registriert seit:
    4. Juni 2005
    Beiträge:
    14.126
    Zustimmungen:
    2
    Du kannst dann gar nichts mehr mit html designen,

    da steht dann alles im Kommentar so wie Du es im Quelltext siehst,

    nötig...

    ich als Admin darf ein Script ausführen und das ist eine Sicherheitslücke,
    halten die uns Admins für derart doof, dass wir nicht wissen was wir tun?

    lg
     
  11. Monika

    Monika Well-Known Member
    Ehrenmitglied

    Registriert seit:
    4. Juni 2005
    Beiträge:
    14.126
    Zustimmungen:
    2
    ist schon ein doofer Anfängerfehler, wenn man in einem Kommentar eine URL anzeigen lassen darf ;);)

    lg
     
  12. ricci007

    ricci007 Member

    Registriert seit:
    24. Januar 2006
    Beiträge:
    12
    Zustimmungen:
    0
    #12 ricci007, 2. März 2006
    Zuletzt bearbeitet: 2. März 2006
  13. tboley

    tboley Well-Known Member

    Registriert seit:
    27. Oktober 2005
    Beiträge:
    1.178
    Zustimmungen:
    0
    Es gibt sogar eine noch größer Sicherheitslücke. Der Admin kann per FTP den gesamten WordPress Ordner und über phpmyadmin auch noch die Datenbank löschen. Das sollte drigend gepatcht werden (via Handamputation oder ähnliches).

    ;)

    Ok, noch mal sachlich: Der von olaf verlinkte Artikel klärt sachlich darüber auf, dass die "Sicherheitslücken" keine sind. Wie schon so oft kann man daraus lernen, dass es nicht hilfreich ist, bei jeder Meldung sofort in Panik zu verfallen
     
  14. TheDude

    TheDude Member

    Registriert seit:
    16. Februar 2006
    Beiträge:
    9
    Zustimmungen:
    0
    Solange es eine URL ist oder sonst ein bewusst erlaubtes Tag ist ja alles OK. Ich habe aber schon genug Skripte gesehen, die POST-Daten einfach an einen MySQL INSERT weitergeben und dann aus der DB ungeprüft in die HTML Seite ausgeben. Gib mal bei so manchem Gästebuch <!-- in's Formular ein, drück auf submit und schau dir die Seite an ... ;)
     
  15. blodvitne

    blodvitne Well-Known Member

    Registriert seit:
    23. September 2005
    Beiträge:
    46
    Zustimmungen:
    0
    nicht jeder der einen wordpress betreibt ist serveradmin, unixguru und sicherheitsexperte. oder etwa doch?
     
  16. ricci007

    ricci007 Member

    Registriert seit:
    24. Januar 2006
    Beiträge:
    12
    Zustimmungen:
    0
    Endgueltiger Patch verfuegbar!

    Jetzt gibt es einen kumulativen Patch, der alle sicherheitsbedenklichen PHP-Files patcht. Der Autor hat seine Website anscheinend selbst damit gepatcht. Habe selbst gerade die im Patch enthaltenen Dateien (18) in meine WordPress 2.0.1 Installation eingespielt, geht einwandfrei!!!

    Der Link zum Patch:

    http://www.stellwag.us/2006/03/02/sicherheitslocher-in-wordpress/

    Der direkte Link:

    (Wurde entfernt, da der Autor dies nicht mag :(!)

    LG

    ricci007
     
    #16 ricci007, 2. März 2006
    Zuletzt bearbeitet: 2. März 2006
  17. WolliW

    WolliW Member

    Registriert seit:
    18. Dezember 2005
    Beiträge:
    15
    Zustimmungen:
    0
    Patchen erzeugt Umlaut-Probleme!

    die vier Aufrufe der Funktion trim() in der Datei wp-comments-post.php von Wordpress 2.0.1 durch htmlentities(trim()) zu ersetzen, führt dazu, das die Umlaute zerhackt dargestellt werden. Leider hilft dabei das o42-Umlau-Plugin auch nicht mehr...
     
  18. ricci007

    ricci007 Member

    Registriert seit:
    24. Januar 2006
    Beiträge:
    12
    Zustimmungen:
    0
    Joa, Problem wurde behoben. Des ging mal schnell :rolleyes:.

    LG

    ricci007
     
  19. WolliW

    WolliW Member

    Registriert seit:
    18. Dezember 2005
    Beiträge:
    15
    Zustimmungen:
    0
    Wenn der Link nicht angegeben werden soll, hier die Korrektur:
    In der wp-comment-post.php muss es so eingegeben werden:
    1. $comment_author = htmlspecialchars(trim($_POST[’author’]));
    2. $comment_author_email = htmlspecialchars(trim($_POST[’email’]));
    3. $comment_author_url = htmlspecialchars(trim($_POST[’url’]));
    4. $comment_content = htmlspecialchars(trim($_POST[’comment’]));


    Patch kann auch bei mir runtergeladen werden!
     
  20. Olaf

    Olaf WPDE-Team
    Mitarbeiter

    Registriert seit:
    3. September 2004
    Beiträge:
    2.740
    Zustimmungen:
    41
    ...ich probier`s nochmal, anscheinend lesen einige den Beitrag nicht von Anfang an!

    Es gibt kein massives Sicherheitsproblem!

    XSS ist nur als eingeloggter Administrator möglich, das ist natürlich völliger Unsinn, da man als eingeloggter Admin so ziemlich alles machen kann.

    Ja, das ist ein Bug. Nein, das ist kein Sicherheitsproblem!
     
    #20 Olaf, 2. März 2006
    Zuletzt bearbeitet: 2. März 2006
Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden