WordPress-Sicherheitslücke mit Cross-Site-Scripting entdeckt

Sind die WordPress-Entwickler beratungsresistent? Da wird eine schwere Sicherheitslücke entdeckt, und die Leute ignorieren die geflissentlich. Also ich schimpfe nicht oft auf Dinge, die ich kostenlos nutzen darf. Aber hier läuft einfach mal das Fass über. Das muss ich einfach mal runterschreiben. Es ist mal wieder die Rede davon, dass in Bezug auf Cross-Site-Scripting (XSS) eine schwere Sicherheitslücke aufgetaucht ist. Und die haben die WordPress-Leute Berichten zufolge einfach mal ignoriert.

Es ist noch nicht allzu lange her, da sollten dringend alle möglichen Plugins aktualisiert werden, weil eine schwere XSS-Lücke festgestellt wurde. Nun gut, dann kam erst WordPress 4.1.2 und kurz drauf WordPress 4.2, um das es auch so einige Diskussionen entbrannt sind. Da denkt man sich allmählich, dass es jetzt erst einmal genug ist mit wüsten Aktualisierungs- und Sicherheitsmeldungen. Aber Pustekuchen.

Das Spannende bei der neuerlichen Lücke bringt das IT-Magazin Golem unter Berufung auf den finnischen IT-Spezialisten Jouko Pynnönen auf den Punkt:

Mittels eines Kommentars kann ein Nutzer Javascript-Code auf der Seite unterbringen und damit beispielsweise den Zugang eines Administrators übernehmen.

Es ist in dem Artikel davon die Rede, dass JavaScript-Code im Kommentarfeld an der hinter WordPress liegenden MySQL-Datenbank vorbei geschleust werden kann. Das kommt daher, weil nach 64 KB abgeschnitten wird. Damit kann das dann ermöglicht werden.

Problematisch an der Situation ist: Es gibt keine Abhilfe. Es ist nicht einfach mal so durch einen Klick zu beheben. Doch, eigentlich schon. Und zwar ganz einfach: Man kann die Kommentarfunktion deaktivieren. Oder man setzt das in Deutschland datenschutzrechtlich umstrittene Kommentarspam-Filtersystem Akismet ein. Oder man setzt auf externe Kommentar-Techniken. Aber das ist doch alles nur Stückwerk.

Golem stellt einen kleinen Interims-Patch für WordPress zur Verfügung, der bis zur Veröffentlichung einer wirklichen Abhilfe die Lücke wohl schließen soll. Andernfalls kann man auch unmoderierte Kommentare verbieten. Und ich glaube, dass das Abhilfe bringt. Man darf eben erstmal keine Kommentare ohne manuelles Freischalten zulassen.

Aber ernsthaft: Wieso bitteschön haben die bei WordPress nicht auf den Melder gehört und sich das Problem zumindest angeschaut? Warum musste es erst publik werden? Also wenn das stimmt, sind die Entwickler schon ein stückweit ignorant. Aber: Die Behauptung muss stimmen.

2 Replies to “WordPress-Sicherheitslücke mit Cross-Site-Scripting entdeckt”

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert