Sicherheitslücke: Blogroll-Spam

Vladimir am 18. 10. 2007 um 02:41 Uhr

Anscheinend gibt es in WordPress eine Sicherheitslücke, die es beliebigen Nutzern erlaubt die Blogroll zu erweitern. Betroffen sind so weit nicht nur die Version 2.3 sondern auch die vorherigen Versionen. Mehr dazu gibt es im offiziellen WordPress-Forum.

Die Lösung des Problems ist es die alte /wp-admin/link.php durch die neue Datei auszutauschen. Folgender Code wird hinzugefügt:

if ( ! current_user_can('manage_links') ) wp_die( __('You do not have sufficient permissions to edit the links for this blog.') );

Via Blogsecurity.net.

Diesen Artikel weiterempfehlen:

6 Kommentare

1. – SuMu

Kommentar vom 18. October 2007 um 07:58

Geht das schon wieder los mit den Sicherheitslücken, dann kommt ja bald WP 2.3.1
2. – Boris

Kommentar vom 18. October 2007 um 10:26

Richtig begriffen habe ich das (im Support-Forum und im WP-trac) jetzt nicht:

Es scheint, dass der Angreifer (Fall im Support-Forum) erst einen User angelegt hat, mit dem er Spamlinks eingefügt hat. Nach Entfernen dieses Users hat er es dann ohne User gemacht? So liest sich das zumindest dort. Im WP-trac sieht es dagegen dann tatsächlich eher so aus, dass es keine Authentifizierung braucht.
3. – heiste

Kommentar vom 18. October 2007 um 12:34

ich habe noch WP Version 2.2.3 im Einsatz (muss mein Theme noch auf 2.3 anpassen) und dort ist der oben genannte Code schon enthalten.
4. – u1amo01

Trackback vom 18. October 2007 um 12:42

Schon wieder……

Wie ich bei gerade bei Susanne gelesen habe, steht WordPress 2.3.1 vor der Tür.
Perun meldet eine Sicherheitslücke in der Blogroll…
Hmpf.
Serendipity wird immer attraktiver.
……
5. – Meine del.icio.us-Links vom 16. Oktober bis zum 18. Oktober | Stephan A. aus B.

Pingback vom 19. October 2007 um 08:26

[...] Sicherheitslücke: Blogroll-Spam :: [...]
6. – Tim

Kommentar vom 21. October 2007 um 17:45

Da überlegt man sich doch dreimal ob man Updates draufspielt…

Hinweis:
Kostenloser WordPress-Newsletter
Wöchentl. Newsletter zu WordPress und verwandten Themen

Tut mir Leid, aber die Kommentar-Funktion ist momentan deaktiviert.

Weblog der perun.net webwork gmbh mit Artikeln zum Thema WordPress, Webwork, und Internet.

1. – SuMu

Kommentar vom 18. October 2007 um 07:58

Geht das schon wieder los mit den Sicherheitslücken, dann kommt ja bald WP 2.3.1

2. – Boris

Kommentar vom 18. October 2007 um 10:26

Richtig begriffen habe ich das (im Support-Forum und im WP-trac) jetzt nicht:

Es scheint, dass der Angreifer (Fall im Support-Forum) erst einen User angelegt hat, mit dem er Spamlinks eingefügt hat. Nach Entfernen dieses Users hat er es dann ohne User gemacht? So liest sich das zumindest dort. Im WP-trac sieht es dagegen dann tatsächlich eher so aus, dass es keine Authentifizierung braucht.

3. – heiste

Kommentar vom 18. October 2007 um 12:34

ich habe noch WP Version 2.2.3 im Einsatz (muss mein Theme noch auf 2.3 anpassen) und dort ist der oben genannte Code schon enthalten.

4. – u1amo01

Trackback vom 18. October 2007 um 12:42

Schon wieder……

Wie ich bei gerade bei Susanne gelesen habe, steht WordPress 2.3.1 vor der Tür.
Perun meldet eine Sicherheitslücke in der Blogroll…
Hmpf.
Serendipity wird immer attraktiver.
……

5. – Meine del.icio.us-Links vom 16. Oktober bis zum 18. Oktober | Stephan A. aus B.

Pingback vom 19. October 2007 um 08:26

[...] Sicherheitslücke: Blogroll-Spam :: [...]

6. – Tim

Kommentar vom 21. October 2007 um 17:45

Da überlegt man sich doch dreimal ob man Updates draufspielt…

WordPress & Webwork - perun.net