Kritische Sicherheitslücke in WordPress
Sicherheitsalarm. Gerade schneite hier über die Benachrichtigungsfunktion von SpamKarma2 eine Sicherheitswarnung herein. Dr. Dave warnt hier sehr deutlich vor einer allzu offenen Benutzerregistrierung:
If you are running Wordpress as your blogging platform and if you have been trusting enough to leave User registration enabled for guests, DISABLE IT IMMEDIATELY (in wp-admin >> options: make sure “Anyone can register” is not checked).
Additionally, delete or disable ANY guest account already created by people you are not sure about.
Auf gut Deutsch soll also der offene Gastzugang deaktiviert werden, d.h. unter Optionen darf das Häkchen für die Checkbox “Jeder kann sich registrieren” nicht gesetzt sein.
Zusätzlich sollte man einmal einen Blick auf die Liste der Benutzer werfen und verdächtige Gesellen rauswerfen.
Dr. Dave macht einen auf Panik, die Jungs bei WordPress sind über so etwas sicher nicht glücklich, die Kommunikation mit WordPress scheint nicht richtig funktioniert zu haben und viele Blogger werden die Geschichte jetzt durch die Blogosphäre blasen. Einige sind irritiert oder wundern sich, ob es nicht nur ein Problem älterer Versionen ist. Dem ist laut Dr.Dave aber nicht so, alle WP-Versionen scheinen betroffen zu sein. Andere haben geforscht und sind fündig geworden und bestätigen die Gefahr hinter der Meldung. Demnach scheint selbst die 2.1alpha betroffen zu sein.
Mittlerweile gibt es ein bisschen Trubel in den Kommentaren und einen Follow-Up Beitrag von Dr. Dave zum Thema. Kein schlechter Linkbait das Ganze ;-)
Update: Im WP.de Forum kann man lesen, dass der Fehler im neuen 2.04 Release wahrscheinlich schon gefixt wurde, bevor die Welle abging. Hoffentlicht kommt das Teil dann auch bald rüber. Aber wie ich Murphy kenne, ein paar kleine Überraschungen hat er sicher noch im Source versteckt.
27. Juli 2006 
Kommentar | 27. Juli 2006 um 15:32 | individueller Kommentarlink
Ich glaube wirklich nicht das Dr. Dave linkbait braucht … aber dieses blog vielleicht??? Ich glaube den gast zugang dicht zumachen ist keine grosse geschichte … und ich traue da eher demjenigen der mir dank SK2 viel viel comment spam erspart hat …
Kommentar | 27. Juli 2006 um 15:52 | individueller Kommentarlink
für nen linkbait wäre ich aber ein bisschen spät dran, nicht wahr.
Matthew Mullenweg höchstpersönlich brachte diesen Kommentar:
drDave, if you think you have found a vulnerability the best thing to do is email security@wordpress.org, not cause a panic with a cryptic blog post. We’re about to put out a release and I haven’t received anything from you so I need to know if this is already fixed in 2.0.4 or not.
ich persönlich wäre nicht den weg gegangen, den Dr. Dave da eingeschlagen hat. die kollateralschäden einer solchen aktion wären mir zu riskant.
Pingback | 27. Juli 2006 um 18:08 | individueller Pingbacklink
[…] die Möglichkeit, dass sich User auf dem Wordress-Blog selbst registrieren können, sollte ausgeschaltet werden (Options -> General -> Membership: Anyone can register). So die Meldung, die momentan herumgeht. Das angebliche Sicherheitsrisiko hat der Spamkarma-Developer veröffentlicht. Und beim Gerald lese ich, dass doch etwas dran sein könnte. Also, bis sich das aufgeklärt hat, sicherheitshalber User-Registrierungen ausschalten und bestehende User, bei denen man sich unsicher ist, deleten. […]
Kommentar | 27. Juli 2006 um 22:13 | individueller Kommentarlink
wie gut das ich die Funktion schon vor geraumer zeit Deaktiviert habe. Wie hatten in kurzer Zeit im einige komische Anmeldungen im http://www.e.commerce-blog.de
Pingback | 27. Juli 2006 um 23:10 | individueller Pingbacklink
[…] Mehr Infos gibt es im Wordpress.de-Forum, beim S-O-S SEO Blog und im Folgebeitrag von Dr. Dave. […]
Kommentar | 27. Juli 2006 um 23:41 | individueller Kommentarlink
Soweit ich weiß, war genau dafür das letzte Update da. Als es herauskam, warnte Wordpress selbst schon eindringlich genug davor, das Update zu installieren. Aus selbigem Grund. Ich nehme jedoch an, dass ohnehin kaum einer den Gastzugang erlaubt hat. Oder?
Pingback | 28. Juli 2006 um 11:37 | individueller Pingbacklink
[…] Laut Software Guide ist die Sicherheitslücke in der Wordpress 2.0.4 beta Version bereits behoben. Diese ist zwar noch nicht offiziell herausgegeben, aber laut Software Guide stabil. Weitere Informationen zum Thema gibt es im Wordpress.de-Forum, beim S-O-S SEO Blog und in diesem Beitrag von Dr. Dave. […]
Pingback | 29. Juli 2006 um 13:02 | individueller Pingbacklink
[…] Nach der Aktion von Dr.Dave ging es jetzt ganz schnell. WordPress 2.0.4 ist draussen und es ist dringend angeraten, das Update durchzuführen. Immerhin soll es über 50 Bugfixes beinhalten und da es sich um ein Security Release handelt, was dann wohl auch die kritische Sicherheitslücke von Dr.Dave schliesst, rät Matt Mullenweg auch dazu, die Meldung an Freunde weiterzuleiten und ihnen wenn nötig zur Hand zu gehen. […]