Erneut ein Exploit? Dies mal über Spam Karma 2.2

Wenn das ein Problem mit SpamKarma ist, warum:

- wird man nicht aufgefordert, stattdessen SK zu deaktivieren?
- sollten sich die WP-Entwickler darum kümmern?

Komische Sache...

 

erklärt mir was da alle passieren kann

mein Server ist down und ich bin auf der Suche nach Gründen

 

Mir fehlt eine anständige Begründung. Nicht, dass ich eine genaue Erklärung erwarte, woe der Exploit funktioniert - das nun wirklich nicht - aber etwas mehr Hintergrundinformationen wären ganz nett, damit die Info auch glaubwürdig wirkt.

 

Wessen Problem?

Hallo jottlieb,

Ist das denn ein Problem mit SK? Dr Dave schreibt doch nur etwas von WP ganz allegemein oder?

 

Genau das. Wenn ich mit meinem Auto in die Leitplanken rase, ist der ADAC Schuld ...

Wenn der Entwikcler von SK2 einen Fehler in seinem Plugin zugibt, kann er wohl kaum WP dafür verantwortlich machen.

 

Laut Threadersteller hört sich das so an, als läge es an SK.

 

hmmm...

"If you are running Wordpress as your blogging platform and if you have been trusting enough to leave User registration enabled for guests..."

Ich finde das hört sich ziemlich allgemein an, aber ich kann ja auch irren

 

ICh hab grad hier was drüber gelesen und countzero ghet davon aus, dass es auf wordpress zutrifft, mit und ohne sk2.

"Apparently there’s a major security hole contained in WordPress in connection to this feature which is not yet closed (and apparently yet no patch available, otherwise the advise would sound different, right?)."

Das spricht doch für sich, oder?

 

right...
die Meldung von DrDave besagt eindeutig, daß er ein generelles problem von WP beschreibt, unabhängig davon, ob SK2 installiert ist oder nicht. wenn das problem an seinem eigenen plugn läge, hätte er stattdessen einfach einen patch geschrieben und dann diesen patch announced, statt über seine newsfunktion in SK2 diese welle aufzureißen.

man sollte imme rim hinterkopf behalten, daß DrDave einer der bekanntesten plugin-autoren der WP-szene ist und er sich daher sicherlich mehrfach überlegt hat, ob er diese welle aufmachen soll oder nicht, bevor er sich dazu durchgerungen hat. insofern steht für mich die glaubwürdigkeit der meldung überhaupt nicht in frage.

vielmehr habe ich gestern abend unmittelbar nach erhalt der nachricht (ich habe absolut zufällig keine 30min nachdem Dave seine warnung verfasst hat die newsmeldung erhalten) im code meiner WP2.1 nightly build geforscht und habe eine stelle gefunden, die sich meiner meinung nach für genau das ausnutzen läßt, was Dave in seiner warnung ziemlich verbrämt beschrieben hat - nämlich den besitz über andere user-accounts an sich zu reißen und damit u.U. sogar die kontrolle über das gesamte blog.
daß ich keine details zu den gefundenen codestellen gebe, versteht sich von selbst, und ich mag mich sogar irren, ob ich das problem wirklich exakt lokalisiert habe. das ändert jedoch absolut nichts daran, daß das problem definitiv sehr schwerwiegend sein muss, anderenfalls hätte Dave nicht diese welle losgetreten.

und nur weil Matt (wieder mal) so tut als wüßte er von nichts, zieht das noch lange nicht Daves glaubwürdigkeit in frage. daß ich von der art und weise wie Matt solche sicherheitswarnungen betreffs WP behandelt nichts halte, sollte sich mittlerweile in der szene herumgesprochen haben.

 

Was nicht automatisch heisst, dass er recht hat. Ich würde erstmal abwarten und Tee trinken.