Beiträge

Erst gestern hatte ich die Blogsoftware auf den neuesten Stand gebracht, doch schon zur gleichen Zeit gab es einen schwerwiegenden Fehler bei WordPress. Durch einen Exploit konnten die Passwörter auch von Admin-Accounts zurückgesetzt werden und man war kurzerhand ausgesperrt. Kurz nach dem Bekanntwerden dieser ärgerlichen Sicherheitslücke schießt das Entwicklerteam das neue WordPress 2.8.4 nach, wodurch dieser Fehler behoben sein soll.

Ich hatte bereits eine Woche auf das Installieren der neuen Version gewartet, und ausgerechnet an dem Tag, als ich die Installation durchführte, musste natürlich dieser Bug auftauchen. Des Bloggers Herz muss sich also immer wieder mit Software auseinander setzen, die zwar kollaborativ von einer weltweiten Entwicklergemeinschaft erarbeitet wird, doch durch die menschlichen Fehler immer wieder Angriffsflächen bietet. Für jeden, der etwas mehr Wert auf Sicherheit legt, empfehle ich auch die etwas älteren, aber dennoch wirksamen Tipps von Sergej.

Freie Software ist eine Essenz des digitalen Lebens. Das wundervolle an solchen Programmen wie WordPress ist die kontinuierliche Pflege des Systems durch die mittlerweile gewaltige Community. Das aktuelle Paket behebt eine kritische Sicherheitslücke in der XML-RPC Schnittstelle. Ein Update ist zwingend erforderlich und für jeden WordPress Einsatz empfohlen.

Ein kleiner Fehler in WordPress gibt streng geheime Entwürfe/Drafts an außenstehende Nutzer frei. Dem kann man mit dem aktuellen Security Release von WordPress 2.3.2 entgegen steuern. Wer seine geschätzten Entwürfe nicht mit fremden Menschen teilen will, kann man das Update nur wärmstens empfehlen.

Einige mögliche Fehlermeldungen geben nach der Installation weniger Informationen über das Setup des Blogs preis, außerdem kann man mit dem neuesten Update sämtliche Datenbankfehlermeldungen eigenständig definieren. Dazu einfach ein eigenes Template unter wp-content/db-error.php erstellen und schon kann man ein schöneres Leben mit WordPress haben, falls die gesamte Datenbank abrauschen sollte. Autsch! :)

Die neue Version von WordPress dient als Sicherheits- bzw. BugFix-Release. Laut WP.de ist auch die neue Version auf Deutsch erhältlich.

Die Entwickler empfehlen dringend zu einem Upgrade, doch vor dem Upgrade sollte man unbedingt ein vollständiges Backup aller Dateien und der Datenbank durchführen!

Das Wochende dient mir mittlerweile zum Updaten von einigen Weblogs. Ganze sieben verschiedenen Installationen musste ich auf den neuesten Stand bringen… das macht einen irgendwie fertig, und nach fast drei Stunden an Kleinstarbeit und Frickelei bin ich so langsam von WordPress genervt! ;)

Dennoch sollte jeder da draußen ein Update auf Version 2.2.1 fahren. Es wurden zahlreiche Bugs und Sicherheitslöcher behoben:

  • Remote shell injection im PHPMailer
  • Remote SQL injection in der XML-RPC Schnittstelle
  • Unescaped attribute in default theme
  • Atom Feed Validation
  • Widget Abwärtskompatibilität, Layout Probleme im IE7 und Verbesserungen am Seiten- und Text-Widget

Sieben verschiedene Blogs sind zeitaufwendig in der Pflege. Irgendwie macht sowas kein Spaß… und hält nur auf. :(

Mit dem Thema des Social Chattings im Internet hat sich Twitter einen Namen gemacht. Sicherheit ist im Internet wichtig, da es auch immer öfters um persönliche Daten geht. Gerade bei Twitter erlebt man den individuellen Exhibitionismus der User auf’s schärfste Detail, und man möchte sicherlich nicht, dass jemand anders den Twitter-Account missbraucht. Per Zufall stieß ich vor wenigen Minuten auf ein potentielles Sicherheitsleck von Twitter, was für mich persönlich ein recht unübliches Prozedere darstellte. Ich kann es nicht reproduzieren, frage mich aber, ob jemand anderes dazu in der Lage ist. Das hier ist kein Security-Report.

Szenario: Mein alter Laptop wird von meiner Freundin Katharina derzeit genutzt. Auf der alten Krücke habe ich auch bereits Twitter genutzt. Kat nutzt Twitter ebenfalls. Als ich nach einigen Wochen den Laptop in die Hände bekam und Twitter im Browser aufrief, war sie logischerweise per Cookie bzw. Session angemeldet. Ich loggte sie mit dem „Sign Out“ Link in Twitter aus und war dann bereits angemeldet.

Hat Twitter keinen zentralen Cookie, der immer nur einen User pro Browser zulässt? Ich bin kein Sicherheitsexperte geschweige denn habe ich vertiefte Kenntnisse in Browsersicherheit, aber das kommt mir sehr komisch vor, dass ich immer noch angemeldet war… wer weiß Rat oder kann dieses Phänomen reproduzieren? Den Browser Cache schließe ich aus, da die aktuelle Diskussion zeitnah dargestellt wurde. Eventuell kann es über die zentrale A-DSL Verbindung des Routers gecached sein, was ich aber sehr stark bezweifel, da bisher keine Cacheprobleme bei der normalen Benutzung von Twitter auftraten. Ebenfalls schließe ich einen Bedienungsfehler aus! ;)

Björn Schotte teilte mir bereits gestern mit, dass eine Vereinigung von Chorizo sowie Stefan Essers PHP Patch „Suhosin“ in der neuen Firma „SektionEins“ ansteht. Stefan gehört zu den führenden Web-Security-Experten und Björn Schotte ist durch das PHP Magazin und seine Tätigkeit als einer der Geschäftsführer von MAYFLOWER bekannt.

Der Schwerpunkt der neuen Firma wird die Durchführung von Security Audits sein, die mittlerweile für jede neue Webanwendung auch vor dem öffentlichen Start oder dem Verlassen einer Beta-Phase eine Pflicht darstellen um die User und ihre Daten vor ungewollten Zugriffen schützen zu können. Security wird ja gerade bei Web2.0 Applikationen immer wichtiger, zumal sich SektionEins nicht nur auf PHP beschränkt sondern auch beliebige Webapplikationen prüft – egal ob Java, Ruby oder was auch immer an Software eingesetzt wird.

SektionEins startet dabei mit interessanten Bestandskunden aus dem Finanz- und Hosting-Bereich ebenso wie aus dem Web2.0-Startup-Bereich. Für die Ausgründung des erfolgreich laufenden Bereichs bei MAYFLOWER wird MAYFLOWER zusammen mit Stefan ein ziemlich großes Rebranding fahren, das Stück für Stück in den nächsten Tagen und Wochen insbesondere für Chorizo durchgeführt wird. Bereits schon jetzt kann man sich für den Launch der Webseite registrieren – man darf also wirklich gespannt sein auf das, was MAYFLOWER und Stefan auf die Beine stellen werden.

Nachtrag: Kurz etwas korrigiert und aufs blog.thinkphp.de verlinkt ;)

Vielen Dank für die namentliche Erwähnung auf dem Bildblog.de: Wie der nebenstehende Screenshot zeigt, wurde ich über die Werbeeinblendung von Qype dort mit meinem echten Namen angezeigt. Ehrlich gesagt bin ich ein wenig irritiert, dass ich nicht mit dem Account „Sichelputzer“ über das Qype-Advertisement angezeigt wurde…

Sagen wir es so – das ist ein Fall für Ute! Go Ute Go! Denn ich glaube nicht, dass andere Leute es gerne sehen würden mit ihren echten Namen auf fremden, vielleicht sogar kontroversen Webseiten dargestellt werden… also recht harmlos im Moment, aber vielleicht für die Zukunft brisant. ;)

Ich habe soeben rausgefunden woran es liegt: Ich kann im Qype-Profil „Meine Identität“ festlegen, so dass ich mit ganzem Namen gelistet werde. Daher glaube ich, dass für die Zukunft eine besondere Einstellung zwischen Qype selbst und externen Seiten diesen Trouble gar nicht erst entstehen lassen würde.

Heute erreichte mich eine sehr interessante E-Mail von meinem Provider Host Europe, von dem ich in Punkto technischen Fragen absolut überzeugt bin. Es ist super freundlich und liebenswert, dass man sich auch persönlich um jemanden als Privatkunden kümmert!

[…] wir haben festgestellt, dass Sie auf Ihrem WebPack unter
www/wp-includes/version.php wordpress 2.0.4
skykat/wp-includes/version.php wordpress 2.0.3
loungemix/wp-includes/version.php wordpress 2.0.4
verwenden. […]

Ich mußte ein wenig schmunzeln dabei, als ich das las. Ich gebe zu, dass ich auf gewissen Blogsystemen wie von Skykat oder LoungeMix ein veraltetes WordPress im Einsatz ist, doch die Version dieses Blogs hier ist definitiv schon seit längerem auf dem aktuellsten Stand von 2.0.5 ;) Dennoch werde ich die anderen Blogs dementsprechend aktualisieren, aber die aus der alten Software resultierenden Angriffsmöglichkeiten sind nur relevant, wenn man es auch erlaubt, dass sich fremde Menschen registrieren. Ebenfalls werden durch die Updates im Allgemeinen nur kleinere Probleme der Blogsoftware behoben, die eher unkritisch für den Fortbestand eines Systems sind und kaum eine Gefahr für die anderen im Netz angeschlossenen (und damit beteiligten) Server darstellen. Oder habe ich dabei etwas vollkommen falsch verstanden?! Für Hinweise in Bezug auf die Sicherheit habe ich ein offenes Ohr!