Kritische Sicherheitslücke in WordPress

Kritische Sicherheitslücke in WordPress

Sicherheitsalarm. Gerade schneite hier über die Benachrichtigungsfunktion von SpamKarma2 eine Sicherheitswarnung herein. Dr. Dave warnt hier sehr deutlich vor einer allzu offenen Benutzerregistrierung:

If you are running WordPress as your blogging platform and if you have been trusting enough to leave User registration enabled for guests, DISABLE IT IMMEDIATELY (in wp-admin >> options: make sure “Anyone can register” is not checked).

Additionally, delete or disable ANY guest account already created by people you are not sure about.

Auf gut Deutsch soll also der offene Gastzugang deaktiviert werden, d.h. unter Optionen darf das Häkchen für die Checkbox “Jeder kann sich registrieren” nicht gesetzt sein.
WP Optionen
Zusätzlich sollte man einmal einen Blick auf die Liste der Benutzer werfen und verdächtige Gesellen rauswerfen.

Dr. Dave macht einen auf Panik, die Jungs bei WordPress sind über so etwas sicher nicht glücklich, die Kommunikation mit WordPress scheint nicht richtig funktioniert zu haben und viele Blogger werden die Geschichte jetzt durch die Blogosphäre blasen. Einige sind irritiert oder wundern sich, ob es nicht nur ein Problem älterer Versionen ist. Dem ist laut Dr.Dave aber nicht so, alle WP-Versionen scheinen betroffen zu sein. Andere haben geforscht und sind fündig geworden und bestätigen die Gefahr hinter der Meldung. Demnach scheint selbst die 2.1alpha betroffen zu sein.

Mittlerweile gibt es ein bisschen Trubel in den Kommentaren und einen Follow-Up Beitrag von Dr. Dave zum Thema. Kein schlechter Linkbait das Ganze ;-)

Update: Im WP.de Forum kann man lesen, dass der Fehler im neuen 2.04 Release wahrscheinlich schon gefixt wurde, bevor die Welle abging. Hoffentlicht kommt das Teil dann auch bald rüber. Aber wie ich Murphy kenne, ein paar kleine Überraschungen hat er sicher noch im Source versteckt.

8 Gedanken zu “Kritische Sicherheitslücke in WordPress”

  1. Ich glaube wirklich nicht das Dr. Dave linkbait braucht … aber dieses blog vielleicht??? Ich glaube den gast zugang dicht zumachen ist keine grosse geschichte … und ich traue da eher demjenigen der mir dank SK2 viel viel comment spam erspart hat …

  2. für nen linkbait wäre ich aber ein bisschen spät dran, nicht wahr.

    Matthew Mullenweg höchstpersönlich brachte diesen Kommentar:
    drDave, if you think you have found a vulnerability the best thing to do is email security@wordpress.org, not cause a panic with a cryptic blog post. We’re about to put out a release and I haven’t received anything from you so I need to know if this is already fixed in 2.0.4 or not.

    ich persönlich wäre nicht den weg gegangen, den Dr. Dave da eingeschlagen hat. die kollateralschäden einer solchen aktion wären mir zu riskant.

  3. Soweit ich weiß, war genau dafür das letzte Update da. Als es herauskam, warnte WordPress selbst schon eindringlich genug davor, das Update zu installieren. Aus selbigem Grund. Ich nehme jedoch an, dass ohnehin kaum einer den Gastzugang erlaubt hat. Oder?

Schreibe einen Kommentar