WP Sicherheitslücke? Nicht wirklich…

Viel Wind in allerlei Blogs gibts derzeit um angebliche Sicherheitslücken in WordPress 1.5+ und 2.0+, welche vom Neo Security Team in einem Advisory veröffentlicht wurden. Nachdem auch Heise auf den Zug aufgesprungen ist und die Meldung offenbar ungeprüft übernommen hatte, mehrten sich die Stimmen, die ein sofortiges Patchen der WordPress-Dateien empfahlen.
Auch ich war im ersten Moment aufgeschreckt und versuchte, die genannten Lücken zu verifizieren. Allerdings stellte sich schnell heraus, dass die Warnungen ziemlich übertrieben sind. Die Sicherheitslücke entsteht nämlich nur, wenn der (angemeldete) Administrator selbst den entsprechenden Code als Kommentar postet.

Robert Deaton drückt es in seinem Post „WordPress Vulnerabilities: Bogus“ so aus:

Uh oh, the blog administrator can post something bad. Well, seeing as though anybody that would have the unfiltered_html cap is either the blog administrator or a highly trusted user, I’m sure that there are many, many ways that they could post such harmful code. This isn’t a vulnerability in WordPress, this is intended behavior, the cap was created so that an administrator could post javascript or whatever they feel like in posts and comments.

Auch im Forum von wordpress.de äusserst man sich gelassen zur angeblichen Sicherheitslücke, genauso im entsprechenden Thread bei der englischsprachigen WordPress Community. Gerade dort ist die Diskussion teilweise ziemlich spannend, da einige verschiedene Meinungen aufeinander prallen, aber schlussendlich dann doch daraus abzuleiten ist, dass keine wirkliche Gefahr besteht.

Wer nun aber doch seine Besucher vor sich selbst schützen und verhindern will, dass sie sich die eigenen Javascript-Popups um die Ohren schlagen, kann die im Advisory genannten Änderungen am File „wp-comments-post.php“ vornehmen oder sich den inoffiziellen Patch von Stellwag.us holen. Dabei ist aber zu bedenken, dass Probleme bei der Darstellung von Umlauten entstehen können und keine HTML-Tags in den Kommentaren mehr möglich sind.

[Update]
Gemäss WolliW ist das Problem mit den Umlauten nun behoben (siehe Kommentar).

4 Comments

  1. WolliW 2.03.2006
  2. Marcel Schindler 3.03.2006
  3. " 3.03.2006
  4. BloggingTom 3.03.2006