Gerade eben gesehen: Ein neues Bugfix Release für WordPress 2.2 wurde veröffentlicht, aktuelle Version also nun 2.2.1. Es wird dringend empfohlen, diese Version zu installieren, beinhaltet sie doch einige Security-Fixes. Also recht zügig den Update-Prozess anwerfen.

Details zu den behobenen Fehlern und gestopften Sicherheitslücken sind wie immer im offiziellen WordPress-Blog zu finden.

Update: Inzwischen ist auch die deutsche Version erschienen, zudem gibt es ein (wesentlich kleineres) Update-Paket für das deutsche WordPress 2.2.

Popularity: 1% [?]

Gerade eben 2 mal aus meinem Postfach gephishedfischt:

Betreff: Ihr Konto wurde gesperrt
Guten Tag! Beim Kaufen in unserem Internet-Shop war ein Fehler vorgekommen, weswegen Ihr Konto gesperrt wurde. Um das Konto wieder freizugeben, folgen Sie bitte diesen Link http://ebay.de/online/

Absender: angeblich support@ebay.de

Der vermeintliche Link zu ebay in diesen Mails führt in Wirklichkeit zu geocities.com/TrstramBabel2383 bzw. geocities.com/BeretTrieste5601. Beide URLs sind inzwischen schon nicht mehr erreichbar, allerdings ist anzunehmen, dass da noch eine ganze Menge mehr Seiten per Script generiert wurden und die eine oder andere vielleicht noch erreichbar ist. Ziel dieser Aktion: Ganz klar Benutzeraccounts von ebay-Nutzern abgreifen. Die Mail kann getrost gelöscht werden…

Popularity: 1% [?]

So oder ähnlich könnte man manche Artikel überschreiben, die sich mit möglichen Sicherheitslecks in WordPress 2.2 befassen.

Da findet man Beiträge auf anderen Blogs, die diffus von bösen Hacks für WordPress 2.2 berichten, die in “bestimmten Kreisen die Runde machen”, ohne dass Details genannt werden. Unsicherheit wird erzeugt, man wartet “wann die ersten bekannten großen Blogs Opfer sein werden” oder ob doch noch rechtzeitig ein Patch erscheint. Zugleich wird vollmundig angekündigt, in einem der nächsten Beiträge ein paar Empfehlungen auszusprechen, wie man sich vor den Gefahren dieses Lecks schützen könne.

Warum nicht sofort? Was bringt eine Sicherheitswarnung, und um eine solche soll es sich ja wohl handeln, wenn man nicht direkt eine Lösung mitliefern kann/will? Mehr als Verunsicherung erreicht man so nicht bei seinen Lesern. Kompetenz zeigt man auch nicht dadurch, dass man Details nicht veröffentlicht, um Script-Kiddies fern zu halten. Kompetenz zeigt man, wenn man eine Lösung präsentiert. Sonst läuft man Gefahr, nicht ernst genommen zu werden. Was auch ein Grund ist, weshalb ich den Beitrag nicht verlinke. Anderenfalls hätte ich es sofort getan. Im Augenblick bin ich mir jedoch nicht sicher, wie viel Substanz tatsächlich hinter dieser Meldung steckt.

Popularity: 1% [?]

Im niegelnagelneuen WordPress 2.2 wurde eine neue Sicherheitslücke entdeckt: per SQL Injection ist es möglich, die Tabelle wp_users auszulesen, wenn der Angreifer einen gültigen Useraccount für das Blog besitzt. Der Fehler sitzt in der Datei xmlrpc.php.

Nun habe ich ja bereits vor einiger Zeit die Benutzerregistrierung auf meinem Blog deaktiviert, insofern ist nicht damit zu rechnen, dass jemand über einen gültigen Account verfügt. Dennoch macht es Sinn, den verfügbaren Workaround zu nutzen, um das Loch zu stopfen. Da noch kein Patch existiert, muss selbst Hand angelegt werden. Dazu wird die Datei xmlrpc.php (liegt direkt im Hauptverzeichnis Eures Blogs) mit einem Texteditor geöffnet und um die Zeile 541 herum (in der Funktion wp_suggestCategories) der folgende Code-Block gesucht:


$blog_id = (int) $args[0];
$username = $args[1];
$password = $args[2];
$category = $args[3];
$max_results = $args[4];

Die letzte Zeile ändert ihr nun um in

$max_results = (int) $args[4];

Speichern, wieder auf den Server laden und das Problem sollte beseitigt sein.

via Clazh und BloggingTom

Popularity: 1% [?]