Anscheinend gibt es beim Einsatz von WordPress laut von Dr. Dave eine Sicherheitslücke, sofern man es erlaubt, dass sich fremde User selbstständig innerhalb von WordPress registrieren. Deswegen gibt es hier den Lesebefehl für alle betroffenen Administratoren – und bitte weitersagen! Ob etwas wahres dran ist, kann ich jedenfalls zur Zeit nicht beurteilen.

Nachtrag: Ein wichtiges Randdetail ist mir im Moment aufgefallen: Dr. Dave setzt WordPress 1.5.3-beta1 für sein Blog ein. Kann es also sein, dass es sich um den Fehler von vor ein paar Wochen handelt, der mit WordPress 2.0.3 behoben wurde?

Nachtrag 2: Tja… ich glaube mittlerweile wirklich, dass es schon durch das Update auf WP 2.0.3 behoben wurde. Und ja ich war gestern zu müde um richtig zu lesen – natürlich ist SK2 davon nicht betroffen, sondern WordPress selbst. Los, treibt die Sau durch’s Dorf zum Verspeisen auf dem Marktplatz! ;)

8 Kommentare
  1. CountZero sagte:

    das ist der grund, warum man des englischen mächtig sein sollte, wenn man fremder leute nachrichten kolportieren möchte – das problem liegt nicht in SK2 (denn dann wäre es ja recht einfach dadurch zu schließen, SK2 vorerst zu deaktivieren), sondern in WP, und selbst in WP 2.1alpha kann man das Problem nachvollziehen – jedenfalls bin ich bei einer solchen code-untersuchung in der letzten WP2.1 nightly auf eine stelle gestoßen, die ich für die quelle des von DrDave geschilderten problems halte.

  2. Stefan Evertz sagte:

    @Mike: Das mit dem „zu müde“ könnte eventuell stimmen und ist bei dem Wetter wohl auch keine Frage der Uhrzeit ;)

    Aber letztendlich bleibt die Frage: Handelt es sich dabei um die „alte“ Sicherheitslücke und wurde sie wirklich behoben?

    Wenn man sich die Überlegungen von CountZero ansieht (auch in dessen Blog), kommen Zweifel auf, ob das Problem wirklich gelöst wurde. Und man sollte nicht vergessen: Dr. Dave wird es sich vermutlich mindestens dreimal überlegt haben, ob er wirklich die „Bug“-Welle machen will…

  3. Mike Schnoor sagte:

    Das ist wohl wahr. Ich würde mich davor hüten, über das Info-System eines Plugins einen Wirbel wie diesen zu machen, ohne wirklich handfeste / stichfeste Beweise zu haben. Dass diese natürlich nicht offengelegt sind, ist eine Frage der Sicherheit. ;)

Trackbacks & Pingbacks

  1. SEO news » Kritische Sicherheitslücke in WordPress sagt:

    […] Dr. Dave macht einen auf Panik, die Jungs bei WordPress sind über so etwas sicher nicht glücklich, die Kommunikation mit WordPress scheint nicht richtig funktioniert zu haben und viele Blogger werden die Geschichte jetzt durch die Blogosphäre blasen. Einige sind irritiert oder wundern sich, ob es nicht nur ein Problem älterer Versionen ist. Dem ist laut Dr.Dave aber nicht so, alle WP-Versionen scheinen betroffen zu sein. Andere haben geforscht und sind fündig geworden und bestätigen die Gefahr hinter der Meldung. Demnach scheint selbst die 2.1alpha betroffen zu sein. […]

  2. […] Dr. Dave macht einen auf Panik, die Jungs bei WordPress sind über so etwas sicher nicht glücklich, die Kommunikation mit WordPress scheint nicht richtig funktioniert zu haben und viele Blogger werden die Geschichte jetzt durch die Blogosphäre blasen. Einige sind irritiert oder wundern sich, ob es nicht nur ein Problem älterer Versionen ist. Dem ist laut Dr.Dave aber nicht so, alle WP-Versionen scheinen betroffen zu sein. Andere haben geforscht und sind fündig geworden und bestätigen die Gefahr hinter der Meldung. Demnach scheint selbst die 2.1alpha betroffen zu sein. […]

  3. RA-Blog » Blog Archive » SpamKarma Sicherheitslücke sagt:

    […] Quelle: Sichelputzer […]

  4. […] (via http://www.mikeschnoor.com, da Mike offenbar häufiger als ich auf die News-Seite des Plugins schaut…) […]

  5. Sicherheitslücke in WordPress mit Spam Karma 2…

    Es gibt ein Sicherheitsproblem in WordPress, wenn das Plugin Spam Karma 2 (SK2) installiert und die Registrierung von neuen Usern freigegeben ist. Dr. Dave, Entwickler von SK2, rät dringend, die Registrierungsfunktion vorerst auszuschalten (unter …

Kommentare sind deaktiviert.