{"id":719,"date":"2006-03-02T20:58:54","date_gmt":"2006-03-02T19:58:54","guid":{"rendered":"http:\/\/bloggingtom.ch\/?p=719"},"modified":"2006-03-03T07:21:16","modified_gmt":"2006-03-03T06:21:16","slug":"wp-sicherheitslucke-nicht-wirklich","status":"publish","type":"post","link":"https:\/\/bloggingtom.ch\/blog\/archives\/2006\/03\/02\/wp-sicherheitslucke-nicht-wirklich\/","title":{"rendered":"WP Sicherheitsl\u00fccke? Nicht wirklich…"},"content":{"rendered":"

Viel Wind in allerlei Blogs gibts derzeit um angebliche Sicherheitsl\u00fccken in WordPress 1.5+ und 2.0+, welche vom Neo Security Team in einem Advisory<\/a> ver\u00f6ffentlicht wurden. Nachdem auch Heise auf den Zug aufgesprungen<\/a> ist und die Meldung offenbar ungepr\u00fcft \u00fcbernommen hatte, mehrten sich die Stimmen, die ein sofortiges Patchen der WordPress-Dateien empfahlen.
\nAuch ich war im ersten Moment aufgeschreckt und versuchte, die genannten L\u00fccken zu verifizieren. Allerdings stellte sich schnell heraus, dass die Warnungen ziemlich \u00fcbertrieben sind. Die Sicherheitsl\u00fccke entsteht n\u00e4mlich nur, wenn der (angemeldete) Administrator selbst den entsprechenden Code als Kommentar postet. <\/p>\n

Robert Deaton dr\u00fcckt es in seinem Post „WordPress Vulnerabilities: Bogus<\/a>“ so aus:<\/p>\n

Uh oh, the blog administrator can post something bad. Well, seeing as though anybody that would have the unfiltered_html cap is either the blog administrator or a highly trusted user, I’m sure that there are many, many ways that they could post such harmful code. This isn’t a vulnerability in WordPress, this is intended behavior, the cap was created so that an administrator could post javascript or whatever they feel like in posts and comments.<\/p><\/blockquote>\n

Auch im Forum von wordpress.de \u00e4usserst man sich<\/a> gelassen zur angeblichen Sicherheitsl\u00fccke, genauso im entsprechenden Thread<\/a> bei der englischsprachigen WordPress Community. Gerade dort ist die Diskussion teilweise ziemlich spannend, da einige verschiedene Meinungen aufeinander prallen, aber schlussendlich dann doch daraus abzuleiten ist, dass keine wirkliche Gefahr besteht.<\/p>\n

Wer nun aber doch seine Besucher vor sich selbst sch\u00fctzen und verhindern will, dass sie sich die eigenen Javascript-Popups um die Ohren schlagen, kann die im Advisory genannten \u00c4nderungen am File „wp-comments-post.php“ vornehmen oder sich den inoffiziellen Patch<\/a> von Stellwag.us holen. Dabei ist aber zu bedenken, dass Probleme bei der Darstellung von Umlauten entstehen k\u00f6nnen und keine HTML-Tags in den Kommentaren mehr m\u00f6glich sind.<\/p>\n

[Update]<\/strong>
\nGem\u00e4ss WolliW ist das Problem mit den Umlauten nun behoben (siehe Kommentar<\/a>).<\/p>\n","protected":false},"excerpt":{"rendered":"

Viel Wind in allerlei Blogs gibts derzeit um angebliche Sicherheitsl\u00fccken in WordPress 1.5+ und 2.0+, welche vom Neo Security Team in einem Advisory ver\u00f6ffentlicht wurden. Nachdem auch Heise auf den Zug aufgesprungen ist und die Meldung offenbar ungepr\u00fcft \u00fcbernommen hatte, mehrten sich die Stimmen, die ein sofortiges Patchen der WordPress-Dateien empfahlen. Auch ich war im […]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"twitterCardType":"","cardImageID":0,"cardImage":"","cardTitle":"","cardDesc":"","cardImageAlt":"","cardPlayer":"","cardPlayerWidth":0,"cardPlayerHeight":0,"cardPlayerStream":"","cardPlayerCodec":"","_jetpack_memberships_contains_paid_content":false,"footnotes":""},"categories":[7],"tags":[1890,1891,333,1894,910,924,1893,1892,3399],"class_list":["post-719","post","type-post","status-publish","format-standard","hentry","category-wordpress","tag-advisory","tag-patch","tag-problem","tag-scripting","tag-security","tag-sicherheit","tag-sicherheitslucke","tag-sicherheitsproblem","tag-wordpress"],"yoast_head":"\nWP Sicherheitsl\u00fccke? Nicht wirklich... - BloggingTom<\/title>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/bloggingtom.ch\/blog\/archives\/2006\/03\/02\/wp-sicherheitslucke-nicht-wirklich\/\" \/>\n<meta name=\"twitter:label1\" content=\"Verfasst von\" \/>\n\t<meta name=\"twitter:data1\" content=\"BloggingTom\" \/>\n\t<meta name=\"twitter:label2\" content=\"Gesch\u00e4tzte Lesezeit\" \/>\n\t<meta name=\"twitter:data2\" content=\"2\u00a0Minuten\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\/\/schema.org\",\"@graph\":[{\"@type\":\"Article\",\"@id\":\"https:\/\/bloggingtom.ch\/blog\/archives\/2006\/03\/02\/wp-sicherheitslucke-nicht-wirklich\/#article\",\"isPartOf\":{\"@id\":\"https:\/\/bloggingtom.ch\/blog\/archives\/2006\/03\/02\/wp-sicherheitslucke-nicht-wirklich\/\"},\"author\":{\"name\":\"BloggingTom\",\"@id\":\"https:\/\/bloggingtom.ch\/blog\/#\/schema\/person\/f6c8d3d5f30c10217b69ac72723e9d1c\"},\"headline\":\"WP Sicherheitsl\u00fccke? Nicht wirklich…\",\"datePublished\":\"2006-03-02T19:58:54+00:00\",\"dateModified\":\"2006-03-03T06:21:16+00:00\",\"mainEntityOfPage\":{\"@id\":\"https:\/\/bloggingtom.ch\/blog\/archives\/2006\/03\/02\/wp-sicherheitslucke-nicht-wirklich\/\"},\"wordCount\":324,\"commentCount\":7,\"publisher\":{\"@id\":\"https:\/\/bloggingtom.ch\/blog\/#\/schema\/person\/f6c8d3d5f30c10217b69ac72723e9d1c\"},\"keywords\":[\"advisory\",\"patch\",\"problem\",\"scripting\",\"security\",\"sicherheit\",\"sicherheitsl\u00fccke\",\"sicherheitsproblem\",\"Wordpress\"],\"articleSection\":[\"Wordpress\"],\"inLanguage\":\"de\",\"potentialAction\":[{\"@type\":\"CommentAction\",\"name\":\"Comment\",\"target\":[\"https:\/\/bloggingtom.ch\/blog\/archives\/2006\/03\/02\/wp-sicherheitslucke-nicht-wirklich\/#respond\"]}]},{\"@type\":\"WebPage\",\"@id\":\"https:\/\/bloggingtom.ch\/blog\/archives\/2006\/03\/02\/wp-sicherheitslucke-nicht-wirklich\/\",\"url\":\"https:\/\/bloggingtom.ch\/blog\/archives\/2006\/03\/02\/wp-sicherheitslucke-nicht-wirklich\/\",\"name\":\"WP Sicherheitsl\u00fccke? Nicht wirklich... - BloggingTom\",\"isPartOf\":{\"@id\":\"https:\/\/bloggingtom.ch\/blog\/#website\"},\"datePublished\":\"2006-03-02T19:58:54+00:00\",\"dateModified\":\"2006-03-03T06:21:16+00:00\",\"breadcrumb\":{\"@id\":\"https:\/\/bloggingtom.ch\/blog\/archives\/2006\/03\/02\/wp-sicherheitslucke-nicht-wirklich\/#breadcrumb\"},\"inLanguage\":\"de\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"https:\/\/bloggingtom.ch\/blog\/archives\/2006\/03\/02\/wp-sicherheitslucke-nicht-wirklich\/\"]}]},{\"@type\":\"BreadcrumbList\",\"@id\":\"https:\/\/bloggingtom.ch\/blog\/archives\/2006\/03\/02\/wp-sicherheitslucke-nicht-wirklich\/#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"Home\",\"item\":\"https:\/\/bloggingtom.ch\/blog\/\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"WP Sicherheitsl\u00fccke? Nicht wirklich…\"}]},{\"@type\":\"WebSite\",\"@id\":\"https:\/\/bloggingtom.ch\/blog\/#website\",\"url\":\"https:\/\/bloggingtom.ch\/blog\/\",\"name\":\"BloggingTom\",\"description\":\"Die t\u00e4glichen Abenteuer im Cyberspace...\",\"publisher\":{\"@id\":\"https:\/\/bloggingtom.ch\/blog\/#\/schema\/person\/f6c8d3d5f30c10217b69ac72723e9d1c\"},\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"https:\/\/bloggingtom.ch\/blog\/?s={search_term_string}\"},\"query-input\":{\"@type\":\"PropertyValueSpecification\",\"valueRequired\":true,\"valueName\":\"search_term_string\"}}],\"inLanguage\":\"de\"},{\"@type\":[\"Person\",\"Organization\"],\"@id\":\"https:\/\/bloggingtom.ch\/blog\/#\/schema\/person\/f6c8d3d5f30c10217b69ac72723e9d1c\",\"name\":\"BloggingTom\",\"image\":{\"@type\":\"ImageObject\",\"inLanguage\":\"de\",\"@id\":\"https:\/\/bloggingtom.ch\/blog\/#\/schema\/person\/image\/\",\"url\":\"https:\/\/secure.gravatar.com\/avatar\/17c2b6a2966fc102465cf177587d359e4dac41adfaab355352baee5d5d46f277?s=96&d=mm&r=g\",\"contentUrl\":\"https:\/\/secure.gravatar.com\/avatar\/17c2b6a2966fc102465cf177587d359e4dac41adfaab355352baee5d5d46f277?s=96&d=mm&r=g\",\"caption\":\"BloggingTom\"},\"logo\":{\"@id\":\"https:\/\/bloggingtom.ch\/blog\/#\/schema\/person\/image\/\"},\"sameAs\":[\"http:\/\/bloggingtom.ch\"],\"url\":\"https:\/\/bloggingtom.ch\/blog\/archives\/author\/bloggingtom\/\"}]}<\/script>\n<!-- \/ Yoast SEO plugin. -->","yoast_head_json":{"title":"WP Sicherheitsl\u00fccke? Nicht wirklich... - BloggingTom","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/bloggingtom.ch\/blog\/archives\/2006\/03\/02\/wp-sicherheitslucke-nicht-wirklich\/","twitter_misc":{"Verfasst von":"BloggingTom","Gesch\u00e4tzte Lesezeit":"2\u00a0Minuten"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/bloggingtom.ch\/blog\/archives\/2006\/03\/02\/wp-sicherheitslucke-nicht-wirklich\/#article","isPartOf":{"@id":"https:\/\/bloggingtom.ch\/blog\/archives\/2006\/03\/02\/wp-sicherheitslucke-nicht-wirklich\/"},"author":{"name":"BloggingTom","@id":"https:\/\/bloggingtom.ch\/blog\/#\/schema\/person\/f6c8d3d5f30c10217b69ac72723e9d1c"},"headline":"WP Sicherheitsl\u00fccke? Nicht wirklich…","datePublished":"2006-03-02T19:58:54+00:00","dateModified":"2006-03-03T06:21:16+00:00","mainEntityOfPage":{"@id":"https:\/\/bloggingtom.ch\/blog\/archives\/2006\/03\/02\/wp-sicherheitslucke-nicht-wirklich\/"},"wordCount":324,"commentCount":7,"publisher":{"@id":"https:\/\/bloggingtom.ch\/blog\/#\/schema\/person\/f6c8d3d5f30c10217b69ac72723e9d1c"},"keywords":["advisory","patch","problem","scripting","security","sicherheit","sicherheitsl\u00fccke","sicherheitsproblem","Wordpress"],"articleSection":["Wordpress"],"inLanguage":"de","potentialAction":[{"@type":"CommentAction","name":"Comment","target":["https:\/\/bloggingtom.ch\/blog\/archives\/2006\/03\/02\/wp-sicherheitslucke-nicht-wirklich\/#respond"]}]},{"@type":"WebPage","@id":"https:\/\/bloggingtom.ch\/blog\/archives\/2006\/03\/02\/wp-sicherheitslucke-nicht-wirklich\/","url":"https:\/\/bloggingtom.ch\/blog\/archives\/2006\/03\/02\/wp-sicherheitslucke-nicht-wirklich\/","name":"WP Sicherheitsl\u00fccke? Nicht wirklich... - BloggingTom","isPartOf":{"@id":"https:\/\/bloggingtom.ch\/blog\/#website"},"datePublished":"2006-03-02T19:58:54+00:00","dateModified":"2006-03-03T06:21:16+00:00","breadcrumb":{"@id":"https:\/\/bloggingtom.ch\/blog\/archives\/2006\/03\/02\/wp-sicherheitslucke-nicht-wirklich\/#breadcrumb"},"inLanguage":"de","potentialAction":[{"@type":"ReadAction","target":["https:\/\/bloggingtom.ch\/blog\/archives\/2006\/03\/02\/wp-sicherheitslucke-nicht-wirklich\/"]}]},{"@type":"BreadcrumbList","@id":"https:\/\/bloggingtom.ch\/blog\/archives\/2006\/03\/02\/wp-sicherheitslucke-nicht-wirklich\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"https:\/\/bloggingtom.ch\/blog\/"},{"@type":"ListItem","position":2,"name":"WP Sicherheitsl\u00fccke? Nicht wirklich…"}]},{"@type":"WebSite","@id":"https:\/\/bloggingtom.ch\/blog\/#website","url":"https:\/\/bloggingtom.ch\/blog\/","name":"BloggingTom","description":"Die t\u00e4glichen Abenteuer im Cyberspace...","publisher":{"@id":"https:\/\/bloggingtom.ch\/blog\/#\/schema\/person\/f6c8d3d5f30c10217b69ac72723e9d1c"},"potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/bloggingtom.ch\/blog\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"de"},{"@type":["Person","Organization"],"@id":"https:\/\/bloggingtom.ch\/blog\/#\/schema\/person\/f6c8d3d5f30c10217b69ac72723e9d1c","name":"BloggingTom","image":{"@type":"ImageObject","inLanguage":"de","@id":"https:\/\/bloggingtom.ch\/blog\/#\/schema\/person\/image\/","url":"https:\/\/secure.gravatar.com\/avatar\/17c2b6a2966fc102465cf177587d359e4dac41adfaab355352baee5d5d46f277?s=96&d=mm&r=g","contentUrl":"https:\/\/secure.gravatar.com\/avatar\/17c2b6a2966fc102465cf177587d359e4dac41adfaab355352baee5d5d46f277?s=96&d=mm&r=g","caption":"BloggingTom"},"logo":{"@id":"https:\/\/bloggingtom.ch\/blog\/#\/schema\/person\/image\/"},"sameAs":["http:\/\/bloggingtom.ch"],"url":"https:\/\/bloggingtom.ch\/blog\/archives\/author\/bloggingtom\/"}]}},"jetpack_featured_media_url":"","jetpack_shortlink":"https:\/\/wp.me\/pa6Ev-bB","jetpack_likes_enabled":true,"jetpack_sharing_enabled":true,"_links":{"self":[{"href":"https:\/\/bloggingtom.ch\/blog\/wp-json\/wp\/v2\/posts\/719","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/bloggingtom.ch\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/bloggingtom.ch\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/bloggingtom.ch\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/bloggingtom.ch\/blog\/wp-json\/wp\/v2\/comments?post=719"}],"version-history":[{"count":0,"href":"https:\/\/bloggingtom.ch\/blog\/wp-json\/wp\/v2\/posts\/719\/revisions"}],"wp:attachment":[{"href":"https:\/\/bloggingtom.ch\/blog\/wp-json\/wp\/v2\/media?parent=719"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/bloggingtom.ch\/blog\/wp-json\/wp\/v2\/categories?post=719"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/bloggingtom.ch\/blog\/wp-json\/wp\/v2\/tags?post=719"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}