[WP 2.0.1] Sicherheitslücken im Blog-System Wordpress

vll koennen die profis hier einen schnellen workaround mal mitteilen. danke.

 

Der Workaround wird ja im Artikel genannt: htmlentities(trim()). Oder eben alle Kommentare erstmal prüfen und dann erst freigeben.

Das mit den fehlenden htmlentities() halte ich ja für eine dicken Hund. Wer macht denn solche Anfängerfehler.

Gruß, The Dude

 

Scheint nicht so dramatisch zu sein:
http://wordpress.org/support/topic/63115

 

bin kein hacker / programmierer. deshalb waere ein genaue anleitung in welcher datei man was genau veraendern muss von vorteil.

 

Ist doch alles genau beschrieben:

 

Frage: "Macht der Workaround in der Form wirklich Sinn?" Ich habe leider nicht so die Ahnung davon, im Heise-Forum habe ich allerdings gelesen, dass bei Anwendung der Änderungen keine Links in den Kommentaren mehr möglich sind. Das wiederum wäre natürlich auch nicht so schön.

 

Du kannst dann gar nichts mehr mit html designen,

da steht dann alles im Kommentar so wie Du es im Quelltext siehst,

nötig...

ich als Admin darf ein Script ausführen und das ist eine Sicherheitslücke,
halten die uns Admins für derart doof, dass wir nicht wissen was wir tun?

lg

 

ist schon ein doofer Anfängerfehler, wenn man in einem Kommentar eine URL anzeigen lassen darf

lg

 

Die beschriebene Lösung gibt es hier auch als Patch:

http://forum.wordpress-deutschland.org/showthread.php?t=6052

LG

ricci007

 

Es gibt sogar eine noch größer Sicherheitslücke. Der Admin kann per FTP den gesamten WordPress Ordner und über phpmyadmin auch noch die Datenbank löschen. Das sollte drigend gepatcht werden (via Handamputation oder ähnliches).



Ok, noch mal sachlich: Der von olaf verlinkte Artikel klärt sachlich darüber auf, dass die "Sicherheitslücken" keine sind. Wie schon so oft kann man daraus lernen, dass es nicht hilfreich ist, bei jeder Meldung sofort in Panik zu verfallen

 

Solange es eine URL ist oder sonst ein bewusst erlaubtes Tag ist ja alles OK. Ich habe aber schon genug Skripte gesehen, die POST-Daten einfach an einen MySQL INSERT weitergeben und dann aus der DB ungeprüft in die HTML Seite ausgeben. Gib mal bei so manchem Gästebuch <!-- in's Formular ein, drück auf submit und schau dir die Seite an ...

 

nicht jeder der einen wordpress betreibt ist serveradmin, unixguru und sicherheitsexperte. oder etwa doch?

 

Endgueltiger Patch verfuegbar!

Jetzt gibt es einen kumulativen Patch, der alle sicherheitsbedenklichen PHP-Files patcht. Der Autor hat seine Website anscheinend selbst damit gepatcht. Habe selbst gerade die im Patch enthaltenen Dateien (18) in meine WordPress 2.0.1 Installation eingespielt, geht einwandfrei!!!

Der Link zum Patch:

http://www.stellwag.us/2006/03/02/sicherheitslocher-in-wordpress/

Der direkte Link:

(Wurde entfernt, da der Autor dies nicht mag !)

LG

ricci007

 

Patchen erzeugt Umlaut-Probleme!

die vier Aufrufe der Funktion trim() in der Datei wp-comments-post.php von Wordpress 2.0.1 durch htmlentities(trim()) zu ersetzen, führt dazu, das die Umlaute zerhackt dargestellt werden. Leider hilft dabei das o42-Umlau-Plugin auch nicht mehr...

 

Joa, Problem wurde behoben. Des ging mal schnell .

LG

ricci007

 

Wenn der Link nicht angegeben werden soll, hier die Korrektur:
In der wp-comment-post.php muss es so eingegeben werden:
1. $comment_author = htmlspecialchars(trim($_POST[’author’]));
2. $comment_author_email = htmlspecialchars(trim($_POST[’email’]));
3. $comment_author_url = htmlspecialchars(trim($_POST[’url’]));
4. $comment_content = htmlspecialchars(trim($_POST[’comment’]));

Patch kann auch bei mir runtergeladen werden!