Gerade eben gesehen: Ein neues Bugfix Release für WordPress 2.2 wurde veröffentlicht, aktuelle Version also nun 2.2.1. Es wird dringend empfohlen, diese Version zu installieren, beinhaltet sie doch einige Security-Fixes. Also recht zügig den Update-Prozess anwerfen.

Details zu den behobenen Fehlern und gestopften Sicherheitslücken sind wie immer im offiziellen WordPress-Blog zu finden.

Update: Inzwischen ist auch die deutsche Version erschienen, zudem gibt es ein (wesentlich kleineres) Update-Paket für das deutsche WordPress 2.2.

Popularity: 1% [?]

So oder ähnlich könnte man manche Artikel überschreiben, die sich mit möglichen Sicherheitslecks in WordPress 2.2 befassen.

Da findet man Beiträge auf anderen Blogs, die diffus von bösen Hacks für WordPress 2.2 berichten, die in “bestimmten Kreisen die Runde machen”, ohne dass Details genannt werden. Unsicherheit wird erzeugt, man wartet “wann die ersten bekannten großen Blogs Opfer sein werden” oder ob doch noch rechtzeitig ein Patch erscheint. Zugleich wird vollmundig angekündigt, in einem der nächsten Beiträge ein paar Empfehlungen auszusprechen, wie man sich vor den Gefahren dieses Lecks schützen könne.

Warum nicht sofort? Was bringt eine Sicherheitswarnung, und um eine solche soll es sich ja wohl handeln, wenn man nicht direkt eine Lösung mitliefern kann/will? Mehr als Verunsicherung erreicht man so nicht bei seinen Lesern. Kompetenz zeigt man auch nicht dadurch, dass man Details nicht veröffentlicht, um Script-Kiddies fern zu halten. Kompetenz zeigt man, wenn man eine Lösung präsentiert. Sonst läuft man Gefahr, nicht ernst genommen zu werden. Was auch ein Grund ist, weshalb ich den Beitrag nicht verlinke. Anderenfalls hätte ich es sofort getan. Im Augenblick bin ich mir jedoch nicht sicher, wie viel Substanz tatsächlich hinter dieser Meldung steckt.

Popularity: 1% [?]

Im niegelnagelneuen WordPress 2.2 wurde eine neue Sicherheitslücke entdeckt: per SQL Injection ist es möglich, die Tabelle wp_users auszulesen, wenn der Angreifer einen gültigen Useraccount für das Blog besitzt. Der Fehler sitzt in der Datei xmlrpc.php.

Nun habe ich ja bereits vor einiger Zeit die Benutzerregistrierung auf meinem Blog deaktiviert, insofern ist nicht damit zu rechnen, dass jemand über einen gültigen Account verfügt. Dennoch macht es Sinn, den verfügbaren Workaround zu nutzen, um das Loch zu stopfen. Da noch kein Patch existiert, muss selbst Hand angelegt werden. Dazu wird die Datei xmlrpc.php (liegt direkt im Hauptverzeichnis Eures Blogs) mit einem Texteditor geöffnet und um die Zeile 541 herum (in der Funktion wp_suggestCategories) der folgende Code-Block gesucht:


$blog_id = (int) $args[0];
$username = $args[1];
$password = $args[2];
$category = $args[3];
$max_results = $args[4];

Die letzte Zeile ändert ihr nun um in

$max_results = (int) $args[4];

Speichern, wieder auf den Server laden und das Problem sollte beseitigt sein.

via Clazh und BloggingTom

Popularity: 1% [?]

In den letzten Tagen landen hier immer mehr Kommentare erst mal auf der Spamliste. Ich kann nicht nachvollziehen, aus welchem Grund Akismet diese Kommentare aussortiert. Selbst wenn sie keinerlei Links enthalten (also selbst wenn das Feld “Webseite” im Formular nicht ausgefüllt wurde), werden sie als Spam deklariert.

Ich habe den Eindruck, dass das seit meinem Upgrade auf WordPress 2.2 passiert. Mit Gewissheit kann ich es nicht sagen, aber ich bin relativ sicher. Aktuell wird in etwa jeder 3. Kommentar falsch klassifiziert, das ist bei dem aktuellen Kommentaraufkommen durchaus zu verschmerzen. Allerdings darf ich nicht versäumen, nun regelmäßig nachzuschauen. Also bitte nicht wundern, wenn ein Kommentar von Euch nicht sofort zu sehen sein sollte.

Ist dieser Effekt auch schon anderen aufgefallen? Falls nicht, dann könnte ich es vielleicht auf irgendeine Plugin-Konstellation zurückführen, irgendwelche Unverträglichkeiten unter WP2.2. Aber im Augenblick hab ich da keinerlei Anhaltspunkte…

Popularity: 1% [?]