Uiuiui, ein Loch in der “Snoopy” Library wurde publik – und da anscheinend Parameter, die an die php-Funktion exec() übergeben werden, dort nicht sauber gefiltert werden, kann sich ein Angreifer tief in den Server bohren. Hossa. Da sollte man lieber schnell aktualisieren.

Habe ich heute nachmittag in sechs verschiedenen Installationen und Umgebungen gemacht, hat überall problemlos geklappt. Allerdings waren diese auch schon mindestens 2.5er-Versionen.

WP 2.6.3 Englische Version
WP 2.6.3 DE-Version
WP 2.6.2 -> WP 2.6.3. Upgrade-Paket (enthält nur die geänderten Dateien)

Kurz nach diesem Update wurde noch eine Sicherheitslücke in der sidebar.php des Default-Kubrick-Themes bekannt:

Das Problem betrifft alle Blogs die das lokalisierte Standardtheme Kubrick aktiviert haben, darunter fällt die DE-Edition und alle Versionen der WP.org-Länderseiten, also zB de.wordpress.org, fr.wordpress.org, etc.
WordPress.org bietet das Default-Theme Kubrick in zwei Versionen an: die englischsprachige und die internationalisierbare, welche mit Hilfe einer Sprachdatei (kubrick.mo) übersetzt werden kann. Das hier beschriebene Sicherheitsleck wurde bereits vor über einem Jahr von WordPress.org im englischsprachigen Theme gefixt, die internationalisierte Version wurde dabei schlicht und einfach vergessen.

Da ich fast überall eigene Themes einsetze, muss ich erstmal die fehlerhafte mit der neuen sidebar.php vergleichen, um abzuschätzen, ob auch in meinen Themes Handlungsbedarf besteht.

Stay tuned…

Update

In Line 33 der alten sidebar.php wird die über den Browser per ?s=bösercodehier manipulierbare Suchanfrage ungefiltert ausgegeben. Gibt man so also zb Javascript-Code ein, würde es ausgeführt. Not good. Die neue sidebar.php jagt das vor der Ausgabe durch die Funktion wp_specialchars() und zieht dem Code damit die Zähne. Krass, dass so ein plumper/dummer Fehler so lange unentdeckt bleibt…