« zurück zur Startseite.
24.Oktober, 2008

Sicherheitsproblem mit dem default-Theme

Wenn es kommt, kommts immer ganz Dicke! Vor ein paar Stunden wurde WordPress 2.6.3 veröffentlicht, das Release behebt ein kritisches Sicherheitsproblem. Durch einen Hinweis von Oliver ist jetzt ein weiteres Sicherheitsproblem aufgetaucht, dass im schlimmsten Fall das Ausführen von Schadcode auf dem Server per Cross-Site Scripting (XSS) zulässt. Betroffen sind allerdings nur Benutzer des internationalisierten Standardthemes “default”. Dieses Theme ist in unserer DE-Edition (default_de) enthalten und in fast allen internationalen wordpress.org Versionen. Wer also seine Version zB bei de.wordpress.org gezogen hat ist davon auch betroffen.

Wen betrifft es?
Das Problem betrifft alle Blogs die das lokalisierte Standardtheme Kubrick aktiviert haben, darunter fällt die DE-Edition und alle Versionen der WP.org-Länderseiten, also zB de.wordpress.org, fr.wordpress.org, etc.

Die Lösung:
Sofern ihr die DE-Edition benutzt (betroffen sind alle DE-Editionen zwischen 2.5 und 2.6.3) folgende Datei runterladen

—> sidebar_fix.zip

und mit der betroffenen austauschen:

wp-content/themes/default_de/sidebar.php

Solltet ihr die deutsche Version von de.wordpress.org installiert haben den Fix runterladen und folgende Datei austauschen:

wp-content/themes/default/sidebar.php

In der DE-Edition 2.6.3 wurde das Problem um 17:00 behoben, seit diesem Zeitpunkt ist der Fix enthalten, wenn ihr die DE-Edition oder nur das Upgradepaket vorher runtergeladen habt, spielt bitte den genannten Fix ein.

Die Ursache:
WordPress.org bietet das Default-Theme Kubrick in zwei Versionen an: die englischsprachige und die internationalisierbare, welche mit Hilfe einer Sprachdatei (kubrick.mo) übersetzt werden kann. Das hier beschriebene Sicherheitsleck wurde bereits vor über einem Jahr von WordPress.org im englischsprachigen Theme gefixt, die internationalisierte Version wurde dabei schlicht und einfach vergessen.

Wir haben das Problem mit Automattic besprochen, worauf sie es auch bestätigten. Die Autoren der jeweiligen offiziellen Länderseiten werden ihre Downloads anpassen.


Olaf

Dieser Beitrag wurde am 24. Oktober 2008 um 17:04 von Olaf in der Rubrik News abgelegt. Dieser Beitrag wurde 2080 mal aufgerufen. Neue Kommentare via RSS 2.0 RSS 2.0 - Trackback Trackback URI

21 Trackbacks

  1. dinofuss.de » Blog Archive » WordPress 2.6.3 behebt Sicherheitslücken am 26. Oktober 2008
  2. Zwei kritische Sicherheitslücken in Wordpress 2.6.3 behoben | Konstantin Filtschew WebLog am 29. Oktober 2008
  3. Gruening.me » Blog Archive » Sicherheitsproblem mit dem default-Theme am 29. Oktober 2008
  4. Eintrag "Wordpress Security Updates: Version 2.6.3 und Default-Theme Sidebar" auf Webrocker am 24. Oktober 2008
  5. WordPress 2.6.3 Sicherheitsrelease | SEO, Affiliate und Marketing Blog - JKW-Media am 24. Oktober 2008
  6. WordPress | Deutschland » WordPress 2.6.3-r1 am 24. Oktober 2008
  7. Leichte Kommunikationsprobleme | Paranoidr.de am 24. Oktober 2008
  8. Dampfmaschine » Blog Archive » Wordpress-Sicherheitsupdate 2.6.3 veröffentlicht [UPDATE] am 24. Oktober 2008
  9. mein gott und meine welt » Blog Archive » WordPress Default-Theme fixen am 24. Oktober 2008
  10. Wordpress 2.6.3 veröffentlicht - goizio.com am 24. Oktober 2008
  11. Wordpress: Kubrick mit Sicherheitsproblem « Nicht spurlos am 24. Oktober 2008
  12. zahlenzerkleinerer » Blog Archive » WordPress 2.6.3 Sicherheitsrelease am 24. Oktober 2008
  13. TalkPress, Yet Another WordPress Echo Chamber am 24. Oktober 2008
  14. WordPress 2.6.3 ist da! - GreenSmilies am 25. Oktober 2008
  15. Mehr Erfolg im Internet » Blog Archive » Noch ein WordPress-Problem am 25. Oktober 2008
  16. Unser Weg mit Abnehmen und Sport zum Wohlfühlen » Blog Archiv » Update vom Update WordPress 2.6.3 am 25. Oktober 2008
  17. BlogFrosch am 25. Oktober 2008
  18. Blog des IT-Service Burggraf » Wordpress 2.6.2 - Sicherheitslücke am 25. Oktober 2008
  19. WordPress 2.6.3 Sicherheitsrelease und Sicherheitsproblem mit dem default-Theme « Urgixgax Blog am 25. Oktober 2008
  20. Wordpress Update 2.6.3 - Sicherheitslücke in 2.6.2 | ISP-Panel IT Blog am 2. Februar 2009
  21. Sicherheitsproblem mit dem default-Theme » Beitrag » myWordPress.de am 27. Juni 2009

10 Kommentare | Kommentar schreiben

  1. #1 Oliver
    24. Oktober 2008 um 17:11

    Bitte schön ;-)

  2. #2 thomas57
    24. Oktober 2008 um 17:39

    Eine Frage sei mir erlaubt?
    Ich habe nur die beiden Dateien ausgetauscht, kein komplettes Update gemacht. Ein default Theme ist bei mir auch nicht im Einsatz aber vorhanden. Sollte man die Datei dann ebenfalls wechseln oder das Default Theme löschen.
    Danke für eine Antwort.
    Gruß aus dem Norden
    thomas

  3. #3 Olaf
    24. Oktober 2008 um 17:43

    @thomas57: solange du das default-Theme nicht benuzt, ist das kein Problem. Allerdings solltest du das Theme definitiv fixen, einfach nur eine Datei ersetzen und du bist auf der sicheren Seite.

  4. #4 Ben
    24. Oktober 2008 um 17:52

    Hallo, ich habe bei einem Blog die sidebar.php stark nachbearbeitet – die Datei also einfach zu überschreiben kommt nicht in Frage. Welche Stellen sind denn ursächlich für die Sicherheitslücke, dann behebe ich den Fehler dort? Danke :)

  5. #5 ocean90
    24. Oktober 2008 um 17:57

    Das würde mich auch interessieren. Viele haben ihre Themes nach diesem Style auch teilweise aufgebaut. Wäre somit nicht nur in diesem Theme.
    Gruß

  6. #6 Olaf
    24. Oktober 2008 um 18:04

    @Ben: im Theme findest Du am Ende der Zeile 33 folgende Funktion:

    ... get_search_query()); ?></p>

    diese mußt Du damit ersetzen:

    ...wp_specialchars(get_search_query(), true)); ?></p>

    Wenn du weitere Fragen hast, wende Dich bitte an das Forum, da können wir Probleme dann besser Diskutieren.

    Nachtrag: bei Oliver gibts die ganze Zeile.

  7. #7 Oliver
    24. Oktober 2008 um 18:05

    Schau auf meiner Seite nach – da ist die Codezeile nochmal geändert. Du kannst evtl. vorher auch mal testen, ob Du überhaupt betroffen bist, dafür musst Du nach

    “>alert(top.location)

    o. ä. suchen. Kommt da ein Alert, solltest Du die Zeile ändern.

  8. #8 Stefan
    24. Oktober 2008 um 20:47

    Hallo Olaf!

    Der Link in’s Forum funktioniert nicht.

    Dennoch eine Frage…
    Wäre der Code get_search_query() grundsätzlich in jeder Datei in dieser Art zu fixen, oder ist das nur in der sidebar.php ein Problem?

  9. #9 Dennis
    24. Oktober 2008 um 21:10

    Stefan dann muss man überall fixen.

  10. #10 Marcus
    26. Oktober 2008 um 02:06

    Hallo!

    Dann ist das die alte XSS-Sicherheitslücke seit Mai 2007, hier auf Heise:

    http://www.heise.de/newsticker/XSS-Luecken-in-Wordpress-Themes–/meldung/89401

    Betrifft alle Themes, die es nicht gefixt haben… Unglaublich!



Dein Kommentar »



« zurück zur Startseite.