1. Herzlich willkommen bei WPDE.org, dem grössten und ältesten deutschsprachigen Community-Forum rund um das Thema WordPress. Du musst angemeldet oder registriert sein, um Beiträge verfassen zu können.
    Information ausblenden

Erneut ein Exploit? Dies mal über Spam Karma 2.2

Dieses Thema im Forum "Allgemeines" wurde erstellt von daniel, 26. Juli 2006.

  1. daniel

    daniel Member

    Registriert seit:
    6. Januar 2006
    Beiträge:
    20
    Zustimmungen:
    0
    Dr Dave sagt:
    Quelle
     
    #1 daniel, 26. Juli 2006
    Zuletzt bearbeitet: 26. Juli 2006
  2. jottlieb

    jottlieb Well-Known Member
    Ehrenmitglied

    Registriert seit:
    20. August 2005
    Beiträge:
    17.381
    Zustimmungen:
    0
    Wenn das ein Problem mit SpamKarma ist, warum:

    - wird man nicht aufgefordert, stattdessen SK zu deaktivieren?
    - sollten sich die WP-Entwickler darum kümmern?

    Komische Sache...
     
  3. Monika

    Monika Well-Known Member
    Ehrenmitglied

    Registriert seit:
    4. Juni 2005
    Beiträge:
    14.126
    Zustimmungen:
    1
    erklärt mir was da alle passieren kann

    mein Server ist down und ich bin auf der Suche nach Gründen

    :(
     
  4. tboley

    tboley Well-Known Member

    Registriert seit:
    27. Oktober 2005
    Beiträge:
    1.178
    Zustimmungen:
    0
    Mir fehlt eine anständige Begründung. Nicht, dass ich eine genaue Erklärung erwarte, woe der Exploit funktioniert - das nun wirklich nicht - aber etwas mehr Hintergrundinformationen wären ganz nett, damit die Info auch glaubwürdig wirkt.
     
  5. daniel

    daniel Member

    Registriert seit:
    6. Januar 2006
    Beiträge:
    20
    Zustimmungen:
    0
    also wenn der entwickler von spam karma sagt, dass es einen fehler gibt in seinem plugin, dass zur kompromitierung des blogs führen kann über die registrierung, dann ist das für mich glaubwürdig genug.

    folgende aussage wurde heute nacht übrigens getätigt von ihm:
     
  6. Exusu

    Exusu Active Member

    Registriert seit:
    22. Dezember 2005
    Beiträge:
    41
    Zustimmungen:
    0
    Wessen Problem?

    Hallo jottlieb,

    Ist das denn ein Problem mit SK? Dr Dave schreibt doch nur etwas von WP ganz allegemein oder?
     
  7. tboley

    tboley Well-Known Member

    Registriert seit:
    27. Oktober 2005
    Beiträge:
    1.178
    Zustimmungen:
    0

    Genau das. Wenn ich mit meinem Auto in die Leitplanken rase, ist der ADAC Schuld ...

    Wenn der Entwikcler von SK2 einen Fehler in seinem Plugin zugibt, kann er wohl kaum WP dafür verantwortlich machen.
     
  8. jottlieb

    jottlieb Well-Known Member
    Ehrenmitglied

    Registriert seit:
    20. August 2005
    Beiträge:
    17.381
    Zustimmungen:
    0
    Laut Threadersteller hört sich das so an, als läge es an SK.
     
  9. Exusu

    Exusu Active Member

    Registriert seit:
    22. Dezember 2005
    Beiträge:
    41
    Zustimmungen:
    0
    hmmm...

    "If you are running Wordpress as your blogging platform and if you have been trusting enough to leave User registration enabled for guests..."

    Ich finde das hört sich ziemlich allgemein an, aber ich kann ja auch irren :)
     
  10. killercup

    killercup Well-Known Member

    Registriert seit:
    25. Februar 2006
    Beiträge:
    230
    Zustimmungen:
    0
    ICh hab grad hier was drüber gelesen und countzero ghet davon aus, dass es auf wordpress zutrifft, mit und ohne sk2.

    "Apparently there’s a major security hole contained in WordPress in connection to this feature which is not yet closed (and apparently yet no patch available, otherwise the advise would sound different, right?)."

    Das spricht doch für sich, oder?
     
  11. CountZero

    CountZero Member

    Registriert seit:
    9. November 2005
    Beiträge:
    21
    Zustimmungen:
    0
    right...
    die Meldung von DrDave besagt eindeutig, daß er ein generelles problem von WP beschreibt, unabhängig davon, ob SK2 installiert ist oder nicht. wenn das problem an seinem eigenen plugn läge, hätte er stattdessen einfach einen patch geschrieben und dann diesen patch announced, statt über seine newsfunktion in SK2 diese welle aufzureißen.

    man sollte imme rim hinterkopf behalten, daß DrDave einer der bekanntesten plugin-autoren der WP-szene ist und er sich daher sicherlich mehrfach überlegt hat, ob er diese welle aufmachen soll oder nicht, bevor er sich dazu durchgerungen hat. insofern steht für mich die glaubwürdigkeit der meldung überhaupt nicht in frage.

    vielmehr habe ich gestern abend unmittelbar nach erhalt der nachricht (ich habe absolut zufällig keine 30min nachdem Dave seine warnung verfasst hat die newsmeldung erhalten) im code meiner WP2.1 nightly build geforscht und habe eine stelle gefunden, die sich meiner meinung nach für genau das ausnutzen läßt, was Dave in seiner warnung ziemlich verbrämt beschrieben hat - nämlich den besitz über andere user-accounts an sich zu reißen und damit u.U. sogar die kontrolle über das gesamte blog.
    daß ich keine details zu den gefundenen codestellen gebe, versteht sich von selbst, und ich mag mich sogar irren, ob ich das problem wirklich exakt lokalisiert habe. das ändert jedoch absolut nichts daran, daß das problem definitiv sehr schwerwiegend sein muss, anderenfalls hätte Dave nicht diese welle losgetreten.

    und nur weil Matt (wieder mal) so tut als wüßte er von nichts, zieht das noch lange nicht Daves glaubwürdigkeit in frage. daß ich von der art und weise wie Matt solche sicherheitswarnungen betreffs WP behandelt nichts halte, sollte sich mittlerweile in der szene herumgesprochen haben.
     
  12. tboley

    tboley Well-Known Member

    Registriert seit:
    27. Oktober 2005
    Beiträge:
    1.178
    Zustimmungen:
    0
    Was nicht automatisch heisst, dass er recht hat. Ich würde erstmal abwarten und Tee trinken.
     
  13. Olaf

    Olaf WPDE-Team
    Mitarbeiter

    Registriert seit:
    3. September 2004
    Beiträge:
    2.737
    Zustimmungen:
    29
    ...hier der aktuelle Stand der Dinge:

    1.) Ja, was Dave aufgetan hat ist ein generelles Problem! Das Problem ist in der aktuellen 2.0.4 (beta) allerdings schon behoben worden, bevor Dave es veröffentlicht hat.
    2.) Verwirrung kam auf weil man in der Diskussion zuerst auf einer falsche Fährte war - Ryan hatte zu dem Zeitpunkt als das Problem aufkam, noch keinen Kontakt zu Dave. Das Problem bezog sich auf Plugins die user_can_access_admin_page() ungeprüft einsetzen. Auch dieses Problem wurde in 2.0.4 (beta) schon behoben.

    3.) Matt ist nicht der alleinige Entwickler von WordPress. Ryan (ebenfalls Automattic) kümmert sich zur Zeit mehr um die Entwicklung als Matt. Wenn Matt, Ryan oder einer der anderen Entwickler ein Problem nicht sofort in den einschlägigen Blogs postet, heisst das nicht, dass die Probleme nicht diskutiert werden. Öffentliche Diskussionen finden in Maillisten und den WP-Chats statt, nichtöffentliche Problemlösungen werden via Mail oder persönlich diskutiert.

    4.) 2.0.4 wird in absehbarer Zeit erscheinen. Zur Zeit laufen die letzten Tests. Da 2.0.4 ein Bugfix-Release ist sollen auch wirklich alle gemeldeten Fehler beseitigt sein bevor es veröffentlicht wird. Getestet wird die aktuelle Beta von der Entwicklercommunity, wer daran partizipieren möchte ist eingeladen sich an den Maillisten und den Chats zu beteiligen.

    5.) Keine Panik! Wer 100% auf der sicheren Seite sein möchte, sollte bis zum erscheinen von 2.0.4 die Benutzerregistrierung deaktivieren.


    ...btw, es nützt nichts und niemanden auf den Zug der Panikmache aufzusteigen.
    Öfters mal ein Backup machen, dann kann man auch ruhig schlafen.
     
    #13 Olaf, 27. Juli 2006
    Zuletzt bearbeitet: 27. Juli 2006
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden