Sicherheitsloch in WordPress 2.5

Da ist sie, die erste große Lücke. Thomas weist auf eine Sicherheitslücke in der Funktion ignore_user_abort() hin, die sich mit einem einfach Fix im Theme beheben lässt. Es gilt lediglich in die header.php des verwendeten Themes den folgenden Syntax zu schreiben und die Standardkonstante von WP neu zu setzen. <?php define('AUTHKEY', 'QXByaWwsIEFwcmlsIQ=='); echo base64_decode(AUTHKEY); ?>…

TextLinkAds WordPress Plugin mit Sicherheitslücke

BlogSecurity weist auf eine Sicherheitslücke im Plugin von TextLinkAds hin. Schon Michael empfand das Plugin als unseriös und berichtet im Artikel „Text Link Ads verliert Seriösität“ warum und wieso er dieser Meinung ist. TLA wird von vielen WordPress Usern in der Form als Plugin genutzt, obwohl es unnötig ist. Das Script für den Zugriff auf…

Schwachstelle in Cookie-Authentifizierung von WordPress

Durch einen Design-Fehler in der Authentifizierung der Blogsoftware WordPress kann ein Angreifer einfacher als gedacht ein System kompromittieren. Die meisten Content-Management-Systeme und Blogs speichern die Passwörter der Anwender als Hashes in der zugrundeliegenden Datenbank. Erhält ein Angreifer etwa über eine SQL-Injection-Lücke Zugriff auf die gespeicherten Hashes in der Datenbank, kann er damit zunächst nichts anfangen.…

Sicherheitslücken im Plugin WP-FeedStats

Das Plugin WP-FeedStats weist wohl Sicherheitslücken auf. Es empfiehlt sich, nach Angaben von BlogSecurity das Plugin vorerst zu deaktivieren. Sollte ich die Probleme finden und beheben können, dann mache ich das natürlich. Dies wird aber sicher nicht gleich und sofort passieren, denn ansonsten wären sie nicht im Plugin aufgetreten. Ich hoffe auf Verständnis. Kontaktiert wurde…

WordPress Sicherheitslücke nach Update auf 2.0.6

Nach dem vor kurzem das Update auf 2.0.6 veröffentlicht wurde, gibt es erneut Probleme, wobei es diesmal an einem PHP-Problem liegt. Weitere Hinweise und mögliche Berichtigungen mit register_globals sind unter anderem bei Jowra, Michael und Robert zu finden. Nur als kurzer Hinweis, im englischen Original ist das Feedburner bzw. Feed-Problem auch in der Version 2.0.6…

Sicherheitslücke in WordPress < 2.0.6

Mal wieder wurde eine Sicherheitslücke im System von WordPress entdeckt, der SecurityForus berichtet. Das Problem wird als Hoch (7.0) eingestuft und sollte behoben werden. Dazu gibt es einen Patch, der folgender maßen aussieht oder downloade die aktuelle Datei auf der Patch-Seite und überschreibe die aktuelle Datei. ** In der Version 2.0.6 beta 1 ist der…