Eigentlich wollte ich den heutigen Tag damit verbringen, ein paar liegen gebliebene Arbeiten in Haus und Garten zu erledigen. Mittendrin bin ich aber auf eine bisher unentdeckte Lücke gestoßen, die die Privatsphäre eines WordPress-Administrators empfindlich beeinträchtigen könnte. Nach meinen bisherigen Recherchen ist über diese Lücke nichts im WordPress-Bugtracker und bei den üblichen anderen Anlaufstellen zu finden.

Auswirkungen

Die Privatsphäre des Blogadministrators wird beeinträchtigt.

Ursachen

Die Lücke findet sich in der Komponente eines Drittherstellers, die Automattic mit geringen Anpassungen und Erweiterungen für WordPress nutzt.

Ich möchte aus naheliegenden Gründen die Identität des Drittherstellers hier nicht öffentlich machen. Da es um einen bekannten Namen handelt, gehe ich davon aus, dass auch Nutzer anderer Open Source-CMSe von dieser der Lücke betroffen sein könnten. Die Art, in der WordPress die Drittkomponente einsetzt, spricht dafür, dass diese Praxis weit verbreitet ist.

Risikoabschätzung

Zur Zeit gehe ich davon aus, dass diese Lücke bereits seit einiger Zeit existiert und nicht von der eingesetzten WordPress-Version abhängt. Ob ich selbst einen Patch für diese Lücke erstellen kann oder lieber abwarte, bis diese Aufgabe jemand mit größerer Fachkenntnis erledigt, ist für mich noch nicht ganz klar.

Die technischen Ansprüche und notwendigen IT-Kenntnisse für das Design eines einen funktionierenden Exploits wären gering. Bei mir selbst habe ich glücklicherweise noch keine Versuche festgestellt, die Lücke auszunutzen.

Public Disclosure

  • Hier ist die Lücke im umgebenden WordPress-Umfeld zu sehen.
  • Die Details sind hier noch besser erkennen.

Mein persönliches Fazit aus dieser Lücke: Bis auf Weiteres werde ich die betroffene WordPress-Instanz nicht mehr öffentlich zugänglich machen und unter Umständen sogar für immer aus dem Verkehr ziehen.

1. April 2012, 04:01 − Abgelegt in

Kommentare

Oh, mein Gott, was kann man nur dagegen machen? Hat jemand eine Idee?

— Mike Naumann · 1. April 2012, 13:09 · #

hmm

ich könnt so einen Patch liefern,
sogar nachhaltig und in diesem Fall absolut unsichtbar – allein schon wegen der Privatsphäre und damit keiner mehr diese Lücke sieht,

gleich aus dem Verkehr ziehen ist oftmals schmerzhaftest, da ist hie und da soviel Memory im Cache => die man kaum sichern kann!

Monika · 1. April 2012, 14:24 · #

Hmmm…die Lücke ist unbestreitbar da, allerdings scheint es sich eher um ein lokales Problem zu handeln ;-)

Cujo · 1. April 2012, 17:07 · #

Das ist ja skandalös! Am besten rennst du gleich zu deinem “Web”-Experten um die Ecke, der hat bestimmt den richtigen “String” griffbereit um das Loch schließen zu können ;)

Kau-Boy · 2. April 2012, 19:15 · #



Textile-Hilfe