7.5.2007

Sicherheitslücke bei WordPress-Themes

Der renommierte Sicherheitsexperte fukami hat wieder einmal ein XSS – Sicherheitsproblem gefunden. Er weist darauf hin, dass eine kürzlich gefundene Sicherheitslücke in WordPress auch für viele selbstgebaute WordPress-Themes gilt. Augenscheinlich ist der selbe oder zumindest ein ähnlicher Exploit auch bei Antville möglich.

Der schnellste Fix für das konkrete Problem: An allen Stellen in den Templates “<?php echo $_SERVER['PHP_SELF']; ?>” durch “<?php echo htmlspecialchars($_SERVER['PHP_SELF']); ?>” ersetzen.

Normalerweise sollte diese Massnahme ausreichen – nachdem die Welt der WordPress-Themes aber eine ausgesprochen komplexe ist, bitte vorher ein Backup der Themes machen, und nachher prüfen, ob alles noch funktioniert wie es sollte. Bei Antville dürfte die Fehlerbehebung ähnlich sein.

Der konkrete Exploit funktioniert nur, wenn WordPress eine eigene “404 Template” benutzt, allerdings ist die Korrektur in jedem Fall empfehlenswert. Ideal wäre auch hier natürlich, sich generell an den Grundsatz zu halten, keinerlei Daten ungeprüft vom Benutzer anzunehmen – aber das wird wohl auf lange Zeit leider ein frommer Wunsch bleiben.

Mehr zu XSS bzw Cross-Site-Scripting bei wikipedia.

(Autor: fh)

13 Kommentare zu “Sicherheitslücke bei WordPress-Themes”

  1. Marcel meint: (7.5.2007 um 15:12) AntwortenReply to this comment

    Ich kenn die Sicherheitslöcher meiner eigenen Blogsoftware nicht. Es gibt bestimmt welche aber ich werde nie kapieren, was PHP-Code in Templates zu suchen hat.

  2. Don meint: (7.5.2007 um 15:54) AntwortenReply to this comment

    Lieber eine neue Skriptsprache (z.B. Smarty) erfinden, die per Scriptsprache (PHP) interpretiert wird.

    Wenn man es richtig macht, spricht gegen PHP in Themes gar nichts.

  3. jesse meint: (7.5.2007 um 16:33) AntwortenReply to this comment

    Und ich dachte, es wäre langsam mal gut mit XSS Lücken in WordPress…

    Eine lustige Liste ist im 'verfaschungsschutzbericht0x73' ;-)

  4. Micha meint: (7.5.2007 um 16:51) AntwortenReply to this comment

    Danke für den Hinweis!

  5. Adi meint: (7.5.2007 um 16:59) AntwortenReply to this comment

    Wie? Wat soll denn "(Autor: fh)"? Skandaaaaaaaaaaaaaaal…

  6. Marcel meint: (7.5.2007 um 18:18) AntwortenReply to this comment

    "der renommierte Sicherheitsexperte" lol seit wann das?

  7. nighthawk meint: (7.5.2007 um 19:24) AntwortenReply to this comment

    antville setzt doch gar nicht auf php?!

  8. fh meint: (7.5.2007 um 18:38) AntwortenReply to this comment

    @5: Eh, wie meinen?

  9. Adi meint: (7.5.2007 um 20:03) AntwortenReply to this comment

    @7, FH
    Verwunderung darüber, ob die Urlaubsvertretung noch nicht vorbei ist.

  10. fh meint: (7.5.2007 um 21:04) AntwortenReply to this comment

    @9: Achso. :) Ja, die ist vorbei – aber ich hab mir natürlich vorher die Posting-Genehmigung von Udo eingeholt.

  11. Max Murkse meint: (8.5.2007 um 11:11) AntwortenReply to this comment

    PHP – äh, wo steht das in meinem Schönfelder?

    @1: PHP ist per se eine Programmiersprache innerhalb von Templates. Erst mit den höheren Versionen von PHP wurde es en vogue plötzlich Ausgabe und Datenverarbeitung zu trennen.

  12. Marcel meint: (8.5.2007 um 11:35) AntwortenReply to this comment

    @11, Max Murke:

    En vogue und praktischer ist es auch. Find ich… Klar, erzeugt wohl zusätzlichen Overhead aber egal.

  13. 321 meint: (8.5.2007 um 11:46) AntwortenReply to this comment

    law blog – äh worum gehts gerade? – Juristerei? Sícherheit? schon wieder Schäuble?

    muß man glaub ich alles nicht unbedingt verstehen … …

Kommentar schreiben

Zulässige HTML-Tags:
Fett: <b> - Kursiv: <i> - Zitat: <blockquote>

Powered by WordPress - Impressum