Sonstiges

WordPress 2.0 Sicherheitslücken

siehe Heise >>
(btw, WP 1.5 ist auch betroffen)

via Hirnrinde.de

Über den Autor

Robert Basic

Robert Basic ist Namensgeber und Gründer von BASIC thinking und hat die Seite 2009 abgegeben. Von 2004 bis 2009 hat er über 12.000 Artikel hier veröffentlicht.

14 Kommentare

  • so wie immer: Mit einem User schreiben, der keine Admin-Rechte hat. Um das eine Problem mit den Adminrechten komme ich damit herum. Um die anderen natürlich nicht. Solange die aber nicht so kritisch sind, wie es zunächst aussieht, belasse ich alles beim alten.

  • Das Umlaut-Problem ist dank Philippe Stellwag jetzt beseitigt!!
    In der wp-comment-post.php muss es so eingegeben werden:
    1. $comment_author = htmlspecialchars(trim($_POST[’author’]));
    2. $comment_author_email = htmlspecialchars(trim($_POST[’email’]));
    3. $comment_author_url = htmlspecialchars(trim($_POST[’url’]));
    4. $comment_content = htmlspecialchars(trim($_POST[’comment’]));

    Der aktuelle Patch kann auch bei mir runtergeladen werden!

  • shit… Umlautkacke (siehe mein Posting oben drueber… toll :-))… das hat keiner fuer die Deutschen bedacht. Hat jemand eine Umlaut-Loesung parat?

  • Also gerade die Änderung in der wp-comments-post.php scheint ziemlich doof zu sein.

    <a href="http://www.google.de>Test</a&gt;

    Denn auch htmlspecialchars lässt keine (X)HTML-Tags mehr zu. Habe das in meinem Artikel (siehe oben Kommentar Nr. 3) entsprechend ergänzt. Für mich ein Killerkriterium, das jetzt überhaupt zu machen. No Risk no fun 🙂 Im Ernst, scheinbar kann das Sicherheitsrisiko nur auftreten, wenn man als Admin selbst JavaScript Code in Comments postet…

  • Also wer Kommentare von Unbekannten nicht moderiert ist imho sowieso selber schuld.

    Und für den Rest gilt

    "No Risk no fun 🙂 "

    Have a nice day!

  • Und jetzt ein paar Fehler im Anschluß an das Abschicken des Kommentars…

    Regex ID: 2114 (blogspot.com) appears to be an invalid regex string! Please fix it in the Blacklist control panel.

    Warning: Cannot modify header information – headers already sent by (output started …

    usw…

  • Scüsi jomei, aber wo fange ich an, nicht mehr an einen Unbekannten im Netz zu denken? Ich habe selbst bei sehr guten Bekannten, die ich off- wie online kenne, keine Gewähr, dass der aktuelle Post von dem Bekannten oder einem Unbekannten, der so tut als sei er ein Bekannter, stammt.

  • […] So richtig ernst habe ich die Sache nicht genommen, da mir ein paar Sachen doch etwas übertrieben schienen – oder direkt vom Server verhindert werden, wie etwa das Directory-Listing. Unabhängig davon hatte ich ein Auge darauf, welche Aktivitäten es in der deutschen Blogszene auf die Veröffentlichungen gab. Eigentlich reichte dafür schon fast ausschließlich die Diskussion auf basicthinking und deren Ergebnisse zu lesen. […]