Schlagwort-Archiv: sicherheit

WordPress: Lücke zu, DE-Edition da

von Stefan Evertz am 01.08.06 um 7:44 Uhr | Schreibe eine Antwort

Wie Dr. Dave in einem weiteren Kommentar unter unknowngenius.com/blog schreibt, geht er davon aus, dass die gemeldete Sicherheitslücke in WordPress mit dem Update auf die Version 2.0.4 behoben wurde:

Update on the security flaw
The exploit has been, as far as I can tell(*), fixed by the latest 2.0.4 release. You are therefore strongly recommended to (read: you MUST) upgrade to this version.
As for the “users can register” option: enabling it back should be OK. I personally will leave it off on my blogs, as I just don’t feel like entrusting strangers with access to wp-admin in the current state of the code (I insist that the aforementioned exploit has been fixed now, I am only being paranoid here).

Weiterhin liegt nun die WordPress DE-Edition auch in der Version 2.0.4 vor und kann als Komplettpaket (und als „Updatepaket“ von 2.0.3 auf 2.04) unter wordpress.de/download heruntergeladen werden, wie unter blog.wordpress.de zu lesen ist.

Und ich habe es nun auch geschafft, auf 2.0.4 zu aktualisieren. Hoffen wir mal, dass da alles glatt gegangen ist 🙄

WordPress 2.0.4

von Stefan Evertz am 29.07.06 um 12:21 Uhr | 2 Antworten

Seit wenigen Stunden ist nun WordPress in der Version 2.0.4 verfügbar, mit der – sechs Wochen nach dem Erscheinen der Version 2.0.3 – erneut zahlreiche Fehler und Sicherheitslücken behoben werden, wie unter wordpress.org[1] zu lesen ist:

This release contains several important security fixes, so it’s highly recommended for all users. We’ve also rolled in a number of bug fixes (over 50!), so it’s a pretty solid release across the board.

Inwieweit auch die Sicherheitslücke in Sachen „Benutzerverwaltung“ geschlossen werden konnte, ist noch nicht klar. Ebenso, ob bzw. wann es ein Update-Paket für die „WordPress DE-Edition“ geben wird.

Wer nicht solange warten will – oder eine andere Edition verwendet, wird aber bereits fündig:

(via www.neun12.de)

Nachtrag 31.07.06, 11:33 Uhr:
Eine ausführliche Beschreibung für die Durchführung des Update findet sich auch unter codex.wordpress.org (englisch).

(via www.golem.de)

Firefox und Thunderbird in Version 1.5.0.5

von Stefan Evertz am 28.07.06 um 18:39 Uhr | 1 Antwort

Für den Browser Firefox und das E-Mail-Programm Thunderbird wurden gestern Updates auf die Version 1.5.0.5 veröffentlicht. Mittlerweile sind die neuen Versionen auch per Update-Funktion verfügbar (über “Hilfe / Firefox aktualisieren” bzw. “Hilfe / Thunderbird aktualisieren”).

Knapp zwei Monate nach der Veröffentlichung der Version 1.5.0.4 beider Programme sind ein weiteres Mal Änderungen hinter den Kulissen erfolgt sowie Sicherheitslücken geschlossen worden. Eine Liste der behobenen Sicherheitslücken für beide Programme findet sich unter www.mozilla.org (englisch), unter www.heise.de[1] sowie unter www.golem.de[1] (Firefox) und www.golem.de[2] (Thunderbird).

Warum ich diese „Update“-Hinweise weiterhin aufgreife? Eigentlich müsste doch jeder Nutzer über die „Aktualisieren“-Funktion auf dem laufenden sein, sofern er diese Funktion nicht deaktiviert hat. Ein Blick in meine Logfiles zeigt „leider“, dass von allen Besuchern dieses Blogs, die Firefox benutzen, nach wie vor jeder siebte Besucher / Leser noch einen „älteren“ Firefox im Einsatz hat, d.h. eine Version kleiner als 1.5. Herausfinden kann man das übrigens auch selber über den Menüpunkt „Hilfe / Ãœber Mozilla Firefox“.

Wer also eine Version vor 1.5 einsetzt und nun „aktualisieren“ will, kann bzw. muss daher die vollständigen Installationsdateien herunterladen (jeweils links unter “Download”):

(via Update-Funktion und www.heise.de[2])

WordPress: Neue oder alte Sicherheitslücke? (Update 1-2)

von Stefan Evertz am 27.07.06 um 9:37 Uhr |

Der Schöpfer des Anti-Spam-Plugins „Spam Karma 2“ (unknowngenius.com/blog[1]), Dr. Dave, hat gestern vor einer generellen Sicherheitslücke in WordPress gewarnt, die mit der Benutzerverwaltung zusammenhängt (siehe auch unknowngenius.com/blog[2], englisch):

If you are running WordPress as your blogging platform and if you have been trusting enough to leave User registration enabled for guests, DISABLE IT IMMEDIATELY (in wp-admin >> options: make sure „Anyone can register“ is not checked).
Additionally, delete or disable ANY guest account already created by people you are not sure about.

Darren Browse berichtet ergänzend von einer eher beschwichtigenden Rückmeldung des WordPress-Chefentwicklers Matthew Mullenweg (siehe auch www.problogger.net, englisch):

Just spoke with Matt. He’s not aware of the issue and can’t tell by the post if it’s something worth being worried about or not – but he’s going to contact Dr Dave to see. He also mentioned that 2.0.4 will be out shortly and it could be something that is resolved in that upgrade. All seems to be in hand.

Und ich frage mich die ganze Zeit, ob es sich dabei möglicherweise um die bereits für WordPress 2.0.2 gemeldete Sicherheitslücke handelt, die eigentlich mit WordPress 2.0.3 behoben werden sollte. Falls die Sicherheitslücke weiterhin besteht, könnten Blogs, die das Plugin “Filosofo Enroll Comments” (oder ähnliche Plugins) benutzen, weiterhin durch die Sicherheitslücke betroffen sein, da das Plugin auf die Benutzerverwaltung von WordPress setzt

Ãœber sachdienliche Hinweise würde ich mich jedenfalls freuen 🙄

(via www.sichelputzer.de, da Mike offenbar häufiger als ich auf die News-Seite des Plugins schaut…)

Update 27.07.06, 12:50 Uhr
Die Faktenlage ist weiterhin unklar, da bisher keine „Stellungnahme“ der WordPress-Entwickler vorliegt. Besorgniserregend finde ich allerdings die Beobachtungen von CountZero unter www.4null4.de:

In the mean time, I was able to confirm the severity of this issue through mere sniffing through the WP sources. Gosh, I must admit that I never thought that WP could contain such a blatantly silly security error. I’m wondering why it hasn’t been exploited before!

Er hat – laut seinem Kommentar unter www.sichelputzer.de[2] – den Quelltext der WP 2.1alpha untersucht. Wenn das wirklich stimmen sollte, würde dies nicht nur eine heikle Sicherheitslücke offenbaren, sondern möglicherweise auch bedeuten, dass die ursprüngliche Sicherheitslücke in der Benutzerverwaltung nicht oder nur unzureichend geschlossen worden wäre 🙁

Warten wir also weiter – angesichts der aktuellen Uhrzeit in den Staaten (7 Uhr Ostküste) dürfte das allerdings noch einige Stunden dauern, denn auch Softwareentwickler sollen Gerüchten zufolge gelegentlich schlafen…

Update 28.07.06, 06:43 Uhr:
Dr. Dave hat mittlerweile in einem neuen Artikel auf die diversen Nachfragen reagiert – und stellt nebenbei (in Kommentar Nr. 10) richtig, dass sich die gemeldete Sicherheitslücke nicht auf WordPress-Versionen vor der aktuellen Version 2.0.3 bezieht (siehe auch unknowngenius.com/blog[2]:

Elliot: Please, call me a doofus, but at least give me enough credit that I wouldn’t suddenly post a panicky announcement regarding an exploit fixed two months and one version of WordPress ago.

Im deutschen WordPress-Forum war dann gestern nachmittag zu lesen, dass das Problem nicht mehr vorliegt (siehe auch forum.wordpress.de):

Ja, was Dave aufgetan hat ist ein generelles Problem! Das Problem ist in der aktuellen 2.0.4 (beta) allerdings schon behoben worden, bevor Dave es veröffentlicht hat.

In einem Kommentar auf http://www.problogger.net[2]: schreibt Dr. Dave gestern abend allerdings etwas anderes:

At the time this post was written, 2.0.4 included absolutely no fix for the problem whatsoever, and if there was a modicum of awareness among some devs (following the first notification), I would have to fiercely disagree with their initial estimate of the situation and the solutions they were considering bringing. Anyway, no need to panic, simply turn the damn option off and insure everybody else does the same until a tested fix is out.

Zum einen stellt sich daher nach wie vor die Frage: Wurde die alte Sicherheitslücke nicht behoben oder handelt es sich um eine weitere bzw. „neue“ Sicherheitslücke? Und falls es sich um eine „neue“ Sicherheitslücke handelt, wurde bzw. wird sie nun behoben?

Zum anderen irritiert mich etwas der – bei Dr. Dave und CountZero zwischen den Zeilen durchschimmernde bzw. unterstellte – grundsätzliche Umgang der WordPress-Kernentwickler mit den vermuteten Sicherheitslücken, der etwas an Microsoft erinnert. Aber vielleicht liegt das auch am – vor allem hitzebedingt – fehlenden Schlaf meinerseits 🙄

Hoffen wir also einfach mal, dass in Kürze die nächste WordPress-Version 2.0.4 erscheint und dieses Thema ein Ende hat…

Jetzt auch mit WordPress 2.0.3

von Stefan Evertz am 09.06.06 um 7:52 Uhr | 7 Antworten

Ab sofort läuft hier jetzt WordPress 2.0.3 – und bisher auch ohne Haken und Ösen, was ja nicht unbedingt zu erwarten war (siehe auch „WordPress 2.0.3 erschienen (Update 1-2)„). Sollte es doch mal irgendwo knirschen – bitte melden!

Letztendlich war es nach einem Kaffee – natürlich aus meiner Lieblingstasse – erledigt:

  • Backup machen (Datenbank und Dateien),
  • (aktualisierte) Dateien aus der Zip-Datei von wordpress.de (files.wordpress.de) hochladen,
  • „Backend“ aufrufen und dort auf „Datenbank aktualisieren“ klicken,
  • Fertig.

Zum guten Schluß habe ich noch die bisher einzige Veränderung an den Kerndateien erneut vorgenommen: Die Integration der Smiley-Leiste von WP-Grins (siehe auch www.perun.net).

Das von Ralf erwähnte Problem der überschriebenen htaccess trat übrigens nicht auf, wobei dies möglicherweise damit zusammenhängt, dass ich nur die aktualisierten Dateien (und nicht alle Dateien) ausgetauscht habe . Auch der Einsatz des „TuneUp“-Plugins war – bis jetzt jedenfalls -nicht erforderlich.

Da habe ich mir wohl vergebens Gedanken gemacht 😉

Datenschutz ade: Google Browser Sync für Firefox

von Stefan Evertz am 08.06.06 um 14:56 Uhr | 2 Antworten

Google hat heute eine neue Erweiterung für Firefox vorgestellt, mit der – auf dem Umweg über einen Google-Server – alle Einstellungen und Daten zwischen Firefox-Installationen auf verschiedenen Rechnern (z.B. Arbeitsplatz und Notebook) ausgetauscht bzw. synchronisiert werden können.

Die Erweiterung „Google Browser Sync“ setzt die Version 1.5 von Firefox voraus und kann unter www.google.com (englisch) heruntergeladen bzw. installiert werden, wobei dort bereits auf eine Konsequenz der Erweiterung hingewiesen wird:

Google Browser Sync must update your browser settings whenever you start Firefox. This will increase the start-up time of Firefox (the time between clicking on the Firefox icon and loading your start page) – please bear with us as we work to decrease this delay.

www.golem.de stellt weitere Details vor:

Google Browser Sync speichert auf Wunsch zahlreiche Firefox-Einstellungen wie Lesezeichen, Verlauf, gespeicherte Kennwörter sowie dauerhafte Cookies. Aber auch geöffnete Webseiten überträgt das Werkzeug auf einen Google-Server, um darüber die Firefox-Daten zwischen verschiedenen Arbeitsplätzen zu synchronisieren. In den Einstellungen lässt sich bestimmen, welche der Daten abgeglichen werden sollen. Alle übertragenen Daten werden mit einer PIN verschlüsselt und sollen so das Ausspähen verhindern.
[…]
Derzeit laufen Ãœberlegungen, wie sich etwa nur eine bestimmte Auswahl an Lesezeichen synchronisieren lässt. Langfristig ist geplant, dass die Erweiterung Lesezeichen zwischen Firefox und Google Bookmarks abgleicht. Noch fehlt eine solche Möglichkeit aber in der Software.

Bei Google selber klingt das ganze noch etwas „euphorischer“ (siehe auch googleblog.blogspot.com):

These sorts of frustrations inspired us to build a Firefox extension that keeps your browser settings for all your computers in sync. Google Browser Sync unifies your bookmarks, history, saved passwords, and persistent cookies across all the computers where you install it. It also remembers which tabs and windows you had open when you last closed any of your browsers and gives you a chance to reopen them. We think you’ll enjoy how it handles sync conflicts and „just works,“ enabling you to bring your browser with you everywhere.

Ich frage mich allerdings, ob sich damit nicht endgültig der Datenschutz verabschieden darf. Während bei Google Desktop „nur“ Dokumente synchonisiert werden (im Rahmen der „Search Across Computers“-Funktion, siehe auch „Google Desktop: Doppel-Agent 003 auf der Suche (Update)„), hat Google so nun auch Zugriff auf den letzten „Freiraum“ – den Browser. Alle von mir aufgerufenen Seiten (inkl. Sessions), meine Lesezeichen und eventuell gespeicherte Passwörter laufen dann über den Google-Server, ohne dass ich auch nur die geringste Chance auf eine Zugriffskontrolle hätte.

Eine solche Funktion ist an sich sicherlich hilfreich und gibt es als Komplettlösung bisher auch nicht (soweit ich weiß). Aber die eventuelle Arbeitserleichterung steht in keinem Verhältnis zu den Risiken. Wer Google Desktop aus „Sicherheitsgründen“ nicht einsetzt, sollte von „Google Browser Sync“ erst recht die Finger lassen. Mir kommt jedenfalls beides nicht ins (Browser-)Haus 👿

Nachtrag 09.06.06., 08:29 Uhr:
Da musste ich erst den Artikel auf www.heise.de lesen, um mich daran zu erinnern, dass es ja mit „Mozbackup“ durchaus eine Software gibt, mit der das komplette Profil gesichert und auch – z.B. auf einem anderen PC oder Notebook – wiederhergestellt werden kann. Und unter Firefox und Thunderbird sichern habe ich auch schon darüber geschrieben 😕

Ganz so komfortabel wie die Google-Lösung ist sie allerdings nicht, da eben jeweils das Backup von Rechner A auf Rechner B überspielt und dort dann „wiederhergestellt“ werden muss. Aber bevor ich Google die Daten gebe…

Google Spreadsheets statt Excel? (Update)

von Stefan Evertz am 06.06.06 um 14:14 Uhr | 1 Antwort

Logo 'Google Spreadsheets' Mit „Google Spreadsheets“ scheint nun Google einen weiteren Angriff auf das Office-Paket aus dem Hause Microsoft fahren zu wollen und hat mittlerweile auch alle Komponenten für ein eigenes webbasierendes „Google Office“ zusammen.

Gut sechs Wochen nach dem Start von „Google Calendar“ wurde heute mit der Einführung der online nutzbaren Tabellenkalkulation begonnen. Der „Test“ wird allerdings nur für eine beschränkten Teilnehmerzahl möglich sein; Anmeldungen können unter www.google.com[1] (englisch) vorgenommen werden.

Erste Eindrücke gibt es unter www.google.com[2] (englisch); von dort stammt auch der folgende Screenshot:

Screenshot 'Google Spreadsheet'

Es ist angesichts der fehlenden Testmöglichkeiten fast nicht möglich, Spreadsheets zu bewerten. Einige Punkte wurden aber bereits kritisch angemerkt:

Zum einen weist Stefan Zwierlein unter www.jmboard.com auf einige Punkte hin, bei denen Excel (noch) vorne liegt:

Es fehlen Grafische Elemente zur Illustration von Daten, Viele Enschränkungen verhindern noch die universelle Nutzbarkeit.

Momentan können 100 Dateien angelegt werden, die jeweils 20 Tabellen enthalten können. Die dürfen maximal 50000 Zellen belegen auf 256 Spalten und maximal 10000 Zeilen. Dateiuploads dürfen nur eine maximale Größe von 400 kB haben.

Zum anderen fand ich die Ãœberlegungen von Robert interessant (siehe auch www.basicthinking.de/blog):

Man muss sich natürlich wie bei Writely die Frage stellen, ob die User tatsächlich bereit sind, online statt OpenOffice oder MS Office komplementäre Produkte zu nutzen. Bei Kalkulationsanwendungen spielen die Datenschutzbedenken mE eine ungleich höhere Rolle.

Hier bin ich allerdings skeptisch, ob bei Kalkulationen das subjektive Sicherheitsempfinden wirklich höher ist als bei mit Writely geschriebenen Konzepten, Angeboten oder Arbeitsverträgen. Hoffen wir das beste und befürchten das schlimmste…

Alles in allem bleiben also viele Fragezeichen, sowohl was den Leistungsumfang von „Google Spreadsheets“ als auch für die Büroanwender sehr kritischen Aspekte der Sicherheit und des Datenschutzes betrifft.

In Sachen Funktionalität hat Google mit den bisherigen Anwendungen früher oder später überzeugen können und das wird wohl auch bald hier der Fall sein.

Ob ich aber als Benutzer meine Daten einem international und primär nach wirtschaftlichen Gesichtspunkten agierenden Unternehmen anvertrauen möchte, ohne dass ich wirklich kontrollieren kann, was damit geschieht? Mein Bauch sagt mir: Nein.

(via blog.outer-court.com, www.golem.de)

Update 06.06.06, 23:12 Uhr:
Offenbar wurden durch Google erste Einladungen verschickt, so dass bereits einige „Tests“ zu finden sind:

Robert kommt zu einem insgesamt eher negativen Ergebnis (siehe auch www.basicthinking.de/blog[2]):

Ok, seien wir fair, Excel 0.1 early alpha. und seien wir noch weiter fair: Ich habe es mit den Augen eines Excel-Users betrachtet.
[…]
Sorry, aber ich verstehe nicht, wie das durch Googles QM durchgehen konnte, Spreadsheet ist eines Google nicht würdig! Google Spreadshirt: Nicht mal ein Anfänger aus dem OpenSource Bereich hätte es schlechter hinbekommen können!

Der Artikel von Philipp Lenssen hingegen klingt insgesamt deutlich positiver, scheint mir aber eher nicht aus der Warte eines Excel-Nutzers geschrieben zu sein (siehe auch blog.outer-court.com[2], englisch):

Google Spreadsheet usability is quite good. […]
The only thing I really missed so far was right-clicking rows to apply formatting changes or to copy & paste text. That, and the ability to create graphs from your data (and the help file also needs to be completed yet). But that’s the good thing about web apps; they can be constantly updated by the developers in the background without any of us ever having to install a new version.

Ãœber den Artikel können übrigens noch zwei Videos (im WMV-Format) sowie ein Zip-Archiv mit weiteren Screenshots heruntergeladen werden.

Insgesamt scheint also auch der zweite Eindruck noch so manches Fragezeichen übrig zu lassen, wobei ich davon ausgehe, dass Google weiter fleißig feilen und ausbauen wird. Wenn man nach der Dauer der Beta-Phase von Googlemail geht, hätte „Google Spreadsheets“ noch mindestens 2 Jahre Zeit bis zur endgültigen Fassung, soweit ich mich erinnern kann. Und in der Zeit kann man eine ganze Menge Feilenstaub aufwirbeln…

Update 26.06.06, 07:56 Uhr:
Bei www.netzwelt.de hat man sich mittlerweile ebenfalls mit Google Spreadsheets beschäftigt – und mindestens eine ernsthafte „Macke“ gefunden:

Wichtige Excel-Funktionen fehlen allerdings bisher. So ist es nicht möglich, nur eine bestimmte Auswahl angezeigt zu bekommen. Besonders merkwürdig ist allerdings eine andere Lücke. Nutzer können ihre Tabellen nicht durchsuchen. Eine Google-Plattform – ohne Suche? Unglaublich, aber wahr.

WordPress 2.0.3 erschienen (Update 1-2)

von Stefan Evertz am 02.06.06 um 8:10 Uhr | 16 Antworten

Gestern wurde die Version 2.0.3 der Blog-Software WordPress (www.wordpress.org) veröffentlicht. Dabei wurden vor allem kleinere Aktualisierungen vorgenommen und wohl auch die vor kurzem entdeckte Sicherheitslücke geschlossen, wie unter wordpress.org[2] (englisch) zu lesen ist:

In addition to an issue that was raised on Bugtraq a few days ago, we’ve also backported a number of security enhancements from 2.1 to further enhance and protect your blog.

For the curious, this release includes:

  • Small performance enhancements
  • Movable Type / Typepad importer fix
  • Enclosure (podcasting) fix
  • The aforementioned security enhancements (nonces)

Erst für die kommenden Versionen 2.1 bzw. 2.5. dürften wohl wieder neue bzw. veränderte Funktionen zu erwarten sein, wie in einem ersten vorsichtigen Ausblick bei www.perun.net zu lesen ist.

Aktuell stellt sich mir jedenfalls die Frage, ob ich hier die aktuelle 2.0.2 WordPress.de-Edition (wordpress.de) ungestraft aktualisieren kann. Wie ich bei Gerald Steffens lese, bin ich da wohl nicht der einzige (siehe auch www.suchmaschinen-optimierung-seo.info/sosblog):

Leider ist auf der Seite von WordPress.de noch nichts zu entdecken von dem Update. Es wäre durchaus interessant zu erfahren, ob man das Update jetzt auch einfach über die deutsche WordPress 2.0.2 DE-Edition drüberbügeln kann oder noch irgendetwas berücksichtigen muss, damit alles weiter glatt läuft.

Die unter codex.wordpress.org (englisch) beschriebene Vorgehensweise könnte, muss aber nicht für die deutsche Version gelten. Eine (kompakte?) Liste der geänderten Dateien habe ich jedenfalls noch nicht entdeckt.

Und da es zumindest drüben bei Mike etwas mit der Umstellung gehakt hat (siehe auch www.sichelputzer.de), werde ich das Update wohl auf einen etwas ruhigeren Moment verschieben. Irgendwann demnächst ist doch Pfingsten, wenn ich mich nicht irre 😕

Update 03.06.06, 06:14 Uhr:
Mittlerweile gibt es auch konkrete Informationen zur WordPress DE-Edition (Danke an Oliver Bockelmann für den Hinweis per Kommentar!). Unter blog.wordpress.de gibt es neben einer Liste auch ein Zip-Archiv mit den geänderten Dateien. Wie ich dort den Kommentaren entnehme, gibt es in der Version 2.0.3. wohl ein kleines Problem beim Bearbeiten von Kommentaren, das sich mit dem Plugin „WordPress 2.0.3 Tuneup“ (txfx.net) beheben lassen müsste.

Auch wenn der ruhigere Moment leider noch etwas auf sich warten läßt, steht nun zumindest theoretisch einem Update nichts mehr im Weg…

Update 04.06.06, 11:29 Uhr:
Gerade stoße ich bei Ralf unter www.neun12.de auf einen eigentlich logischen, aber möglicherweise gerne übersehenen Aspekt des Updates: Die Sicherung der htaccess:

Das Update von WP 2.0.2 auf 2.0.3 überschreibt ungefragt die .htaccess, sofern diese nicht schreibgeschützt ist. In meinen Fall besonders ärgerlich, da ich die Umleitung für die Feeds auf Feedburner in der .htaccess eingebaut habe.

Bei der vorherigen Datensicherung sollte man also auf jeden Fall sicherstellen, dass ALLE Dateien (und somit auch die htaccess-Dateien) gesichert werden. Und da ich dort weit mehr umleite als nur die Feedadressen, werde ich noch vorsichtiger sein müssen als sonst 🙁

Sicherheitslücke bei WordPress

von Stefan Evertz am 30.05.06 um 7:37 Uhr | 4 Antworten

Bei WordPress scheint nun eine Sicherheitslücke aufgetaucht zu sein, wie www.heise.de berichtet:

Durch eine Sicherheitslücke in dem Blog-System WordPress ist es registrierten Nutzern unter bestimmten Umständen möglich, beliebigen Schadcode mit Rechten des Webserver-Prozesses ausführen zu lassen.
[…]
Gibt ein registrierter Nutzer in seinem persönlichen Profil beispielsweise im Anzeigenamen ein Newline-Zeichen gefolgt von einigen PHP-Befehlen an, werden diese beim Öffnen einer unter Umständen angelegten Cache-Datei durch den Webserver ausgeführt.

Robert ergänzt unter www.basicthinking.de/blog:

Wer also unter Options -> General den Haken bei “Membership: Anyone can register” gesetzt hat, einfach deaktivieren und sowieso auf das Wp-Update warten.

Vor diesem Hintergrund sollte man also die registrierten Benutzer – z.B. Kommentatoren, die einen Status als „registrierter Leser“ haben – einem kritischen Blick unterziehen bzw. sie eventuell ganz löschen.

Weiterhin bin ich zumindest auf ein „Kommentare abonnieren“-Plugin gestoßen, das ebenfalls Anlass zur kritischen Prüfung sein könnte. Blogs, die das Plugin „Filosofo Enroll Comments“ benutzen, könnten durch die Sicherheitslücke betroffen sein, da das Plugin auf die Benutzerverwaltung von WordPress setzt (siehe auch http://www.ilfilosofo.com/blog/enroll-comments/, englisch):

Is this plugin a security risk because it allows anybody to login to WordPress?
By default, no. When first activated, the plugin sets the “New User Default Role” (under Options > General in the admin control panel) to “subscriber,” which allows new users to log in and not much else. If an administrator chooses to change the “New User Default Role” to something higher, then new enrollees will have that level of permission.

Letztendlich bleibt aber zu hoffen, dass es zeitnah eine Einschätzung der WordPress-Entwickler gibt, ob es sich um ein ernstzunehmendes Problem handelt, sowie natürlich auch in absehbarer Zeit ein Patch bzw. Update…

Sicherheitslücke bei Skype

von Stefan Evertz am 22.05.06 um 10:13 Uhr | Schreibe eine Antwort

Logo 'Skype' Nun hat es also auch Skype erwischt. Wie man dort in einer Warnung unter www.skype.com (englisch) berichtet, wurde eine Sicherheitslücke entdeckt, bei der durch die beliebte Telefonie-Software unter bestimmten Umständen eine Datei „halbautomatisch“ an einen externen Empfänger übermittelt wird:

An attacker who constructs a Skype URL that is malformed in a specific way can initiate the transfer of a single named file from one Skype user to another, provided that the sender follows the malicious link and that the recipient has previously authorized the sender.

www.heise.de ergänzt:

Ob sich die Lücke ausnutzen lässt, hängt laut der Sicherheitswarnung von Skype von der Konfiguration ab und davon, in welchem Autorisierungsverhältnis Sender und Empfänger zueinander stehen. Um von der Lücke betroffen zu werden, muss der Angegriffene manuell auf einen präparierten Link klicken, beispielsweise auf einer Webseite.

Was also ist zu tun:

  1. Nicht auf alles klicken, das sich bewegt 😕
  2. Auf die aktuelle Version updaten (2.0.x.105, z.B. unter www.skype.com[2]), mit der die Sicherheitslücke geschlossen wurde

(via www.golem.de)