Viel Wind in allerlei Blogs gibts derzeit um angebliche Sicherheitslücken in WordPress 1.5+ und 2.0+, welche vom Neo Security Team in einem Advisory veröffentlicht wurden. Nachdem auch Heise auf den Zug aufgesprungen ist und die Meldung offenbar ungeprüft übernommen hatte, mehrten sich die Stimmen, die ein sofortiges Patchen der WordPress-Dateien empfahlen.
Auch ich war im ersten Moment aufgeschreckt und versuchte, die genannten Lücken zu verifizieren. Allerdings stellte sich schnell heraus, dass die Warnungen ziemlich übertrieben sind. Die Sicherheitslücke entsteht nämlich nur, wenn der (angemeldete) Administrator selbst den entsprechenden Code als Kommentar postet.
Robert Deaton drückt es in seinem Post „WordPress Vulnerabilities: Bogus“ so aus:
Uh oh, the blog administrator can post something bad. Well, seeing as though anybody that would have the unfiltered_html cap is either the blog administrator or a highly trusted user, I’m sure that there are many, many ways that they could post such harmful code. This isn’t a vulnerability in WordPress, this is intended behavior, the cap was created so that an administrator could post javascript or whatever they feel like in posts and comments.
Auch im Forum von wordpress.de äusserst man sich gelassen zur angeblichen Sicherheitslücke, genauso im entsprechenden Thread bei der englischsprachigen WordPress Community. Gerade dort ist die Diskussion teilweise ziemlich spannend, da einige verschiedene Meinungen aufeinander prallen, aber schlussendlich dann doch daraus abzuleiten ist, dass keine wirkliche Gefahr besteht.
Wer nun aber doch seine Besucher vor sich selbst schützen und verhindern will, dass sie sich die eigenen Javascript-Popups um die Ohren schlagen, kann die im Advisory genannten Änderungen am File „wp-comments-post.php“ vornehmen oder sich den inoffiziellen Patch von Stellwag.us holen. Dabei ist aber zu bedenken, dass Probleme bei der Darstellung von Umlauten entstehen können und keine HTML-Tags in den Kommentaren mehr möglich sind.
[Update]
Gemäss WolliW ist das Problem mit den Umlauten nun behoben (siehe Kommentar).
Das Umlaut-Problem ist dank Phillippe jetzt beseitigt!!
In der wp-comment-post.php muss es so eingegeben werden:
1. $comment_author = htmlspecialchars(trim($_POST[‚author‘]));
2. $comment_author_email = htmlspecialchars(trim($_POST[‚email‘]));
3. $comment_author_url = htmlspecialchars(trim($_POST[‚url‘]));
4. $comment_content = htmlspecialchars(trim($_POST[‚comment‘]));
Patch kann auch bei mir runtergeladen werden!
[Edit] Kommentar zur besseren Darstellung des Codes editiert. BloggingTom
Ich will ja nicht meckern, aber gerade beim Heise-Verlag hab ich das Gefühl, daß die sich bestimmte O/S-Projekte raussuchen, um da jeden Frickelfehler zu finden. Das machen die von Heise beim PHPbb-Projekt auch ständig, wobei gerade bei den letzten 2 Bugs der Fehler nicht bei PHPbb, sondern in der mangelhaften Implementierung vom HTTP des Internet-Explorers lag…
Oder siehst du das anderes?
Wer sieht was anders? Hast Du da sogar etwas mit Javascript probiert, dass Dein Name nur noch als “ erscheint? Das würde dann aber nur bei Dir ausgeführt, da das Script im Cookie gespeichert wird….