Wie einige Medien heute berichten, gäbe es „riesige“ Sicherheitslücken in WordPresss.
Im WordPressforum wird das erfahrungsgemäß relativierter gesehen. Dort werden die Probleme zwar bestätig, aber als nicht ganz so schwerwiegend eingestuft. Mittlerweile gibt es einen Workaround zur Behebung der XSS-Lücke. Man bräuchte nur die „wp-comments-post.php“ aus der Software editieren.
suche:
$comment_author = trim($_POST['author']);
$comment_author_email = trim($_POST['email']);
$comment_author_url = trim($_POST['url']);
$comment_content = trim($_POST['comment']);
ersetzen durch:
$comment_author = htmlentities(trim($_POST['author']));
$comment_author_email = htmlentities(trim($_POST['email']));
$comment_author_url = htmlentities(trim($_POST['url']));
$comment_content = htmlentities(trim($_POST['comment']));
Die Behebung der zweiten Lücke ist ein wenig zeitaufwendiger. Um den direkten Aufruf der .php Dateien und die dadurch resultierende Fehlermeldung zu unterbinden, müßte man alle .php Dateien mit dem Code
if (eregi('Name der Datei.php', $_SERVER['PHP_SELF'])) die('You are not allowed to see this page directly');
versehen.
Man kann also davon ausgehen, dass in absehbarer Zeit eine fehlerbereinigte Version der Software veröffentlicht wird.
Wie schlimm ist es, wenn ich die Fehler jetzt nicht manuell behebe sondern auf die "fehlerbereinigte Version der Software" warte? Welche Auswirkungen hat das? =)
Ich kann mich da nur auf die Spezialisten verlassen, und da ist man der Meinung, dass das Problem im Moment nicht sehr gefaehrlich waere. Aber wie gesagt, ich muss mich da auf die Codespezialisten verlassen. Ich habe den Code manuell geandert und das hat keine 5 Minuten gedauert. Aber durch den Code fuktionieren die Umlaute in den Kommentaren nicht mehr.
Das Problem mit den direkt aufrufbaren Dateien habe ich noch nicht vollstaendig abgestellt, denn das sind einfach zu viele. Aber ich habe gelesen, dass man das auch generell ueber einen Eintrag in der .htaccess lassen koenne. Aber da muesste ich noch mal genau nachlesen.
Das Umlaut-Problem ist dank Philippe Stellwag jetzt beseitigt!!
In der wp-comment-post.php muss es so eingegeben werden:
$comment_author = htmlspecialchars(trim($_POST[‚author‘]));
$comment_author_email = htmlspecialchars(trim($_POST[‚email‘]));
$comment_author_url = htmlspecialchars(trim($_POST[‚url‘]));
$comment_content = htmlspecialchars(trim($_POST[‚comment‘]));
Der aktuelle Patch(18 Dateien) kann auch bei mir runtergeladen werden!
Aber Achtung, der Patch funktioniert nur mit der WordPress 2.x.x
Wenn man nämlich versucht seinen Patch auf der alten Version einzuspielen, kommt es zu Fehlermeldungen. Das Problem liegt darin, dass die .php Dateien anderen Inhalt haben als in der neuen Version. Man kann den Patch nur als Anhalt nehmen in welchen Dateien man diesen Code „if (eregi(‚Name der Datei.php‘, $_SERVER[‚PHP_SELF‘])) die(‚You are not allowed to see this page directly‘);“ einfügen muß.