Peruns Weblog - Webwork und Internet

Ist das private Weblog von Vladimir Simovic mit Berichten zum Thema WordPress, Webwork, und Internet. Ich wohne in Köln und arbeite als freier Webworker, Blogger und Autor.

Sicherheitslücke: Blogroll-Spam

Perun am 18. Oktober 2007 um 02:41 Uhr

Anscheinend gibt es in WordPress eine Sicherheitslücke, die es beliebigen Nutzern erlaubt die Blogroll zu erweitern. Betroffen sind so weit nicht nur die Version 2.3 sondern auch die vorherigen Versionen. Mehr dazu gibt es im offiziellen WordPress-Forum.

Die Lösung des Problems ist es die alte /wp-admin/link.php durch die neue Datei auszutauschen. Folgender Code wird hinzugefügt:

if ( ! current_user_can('manage_links') )
wp_die( __('You do not have sufficient permissions
to edit the links for this blog.') );

Via Blogsecurity.net.

Verwandte Beiträge

Kategorien:
WordPress
Tags:
,  
Beitrag:
Trackback-Adresse und die Druckvorschau
Rivva:
Was sagen die Anderen dazu?
Kommentare:
Kommentare verfolgen oder einen Kommentar abgeben

«« Zum vorherigen Beitrag — Zum nächsten Beitrag »»

6 Kommentare »»

  1. 1.SuMu

    Kommentar vom 18. Oktober 2007 um 07:58

    Geht das schon wieder los mit den Sicherheitslücken, dann kommt ja bald WP 2.3.1 :twisted:

  2. 2.Boris

    Kommentar vom 18. Oktober 2007 um 10:26

    Richtig begriffen habe ich das (im Support-Forum und im WP-trac) jetzt nicht:

    Es scheint, dass der Angreifer (Fall im Support-Forum) erst einen User angelegt hat, mit dem er Spamlinks eingefügt hat. Nach Entfernen dieses Users hat er es dann ohne User gemacht? So liest sich das zumindest dort. Im WP-trac sieht es dagegen dann tatsächlich eher so aus, dass es keine Authentifizierung braucht.

  3. 3.heiste

    Kommentar vom 18. Oktober 2007 um 12:34

    ich habe noch WP Version 2.2.3 im Einsatz (muss mein Theme noch auf 2.3 anpassen) und dort ist der oben genannte Code schon enthalten.

  4. 4.u1amo01

    Trackback vom 18. Oktober 2007 um 12:42

    Schon wieder……

    Wie ich bei gerade bei Susanne gelesen habe, steht Wordpress 2.3.1 vor der Tür.
    Perun meldet eine Sicherheitslücke in der Blogroll…
    Hmpf.
    Serendipity wird immer attraktiver.
    ……

  5. 5.Meine del.icio.us-Links vom 16. Oktober bis zum 18. Oktober | Stephan A. aus B.

    Pingback vom 19. Oktober 2007 um 08:26

    [...] Sicherheitslücke: Blogroll-Spam :: [...]

  6. 6.Tim

    Kommentar vom 21. Oktober 2007 um 17:45

    Da überlegt man sich doch dreimal ob man Updates draufspielt…

Einen Kommentar hinterlassen

XHTML (folgende Tags sind erlaubt): <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong> . Kommentar-Vorschau ist aktiviert (Javascript wird benötigt).

Code-Beispiele: damit die Code-Beispiele richtig angezeigt werden müssen die Sonderzeichen maskiert werden (z. B. < zu &lt;).

Live-Vorschau

Kommentarlinks könnten nofollow frei sein.