Spreeblick wurde Donnerstag abend von einem in meinen Augen als Scriptkiddie zu bezeichnenden Menschen defaced. Johnny, der Herausgeber von Spreeblick, unterhält sich mit ihm.

Als Nicht-Techniker behandelt Johnny in seinem, leider recht oberflächlichen Interview die sozialen Aspekte. Interessiert hätte mich, was ein Shavidan im zarten Alter von 23 Jahren beruflich macht, warum er seine künstlerische Ader zum Vorschein bringt, wo er doch eigentlich ein Techniker sein möchte, warum er ein so offensichtliches Defacement gewählt hat und nicht nur ein verstecktes was möglichst viele Monate unentdeckt bleibt etc. pp.

Johnny spricht dann in einem Nebensatz von etwas, was sehr bedrohlich ist:

[…] den Zugang zum Admin-Bereich gesucht hat (diverse URLs ausprobiert) und irgendwann mittels einer, wie wir vermuten, “SQL Injection” auch tatsächlich im Backend gelandet ist.

Wenn es wirklich ein Angiff über ein SQL-Injection war, sollte das schleunigst an WP gemeldet werden. Sind solche Fehler erst einmal vorhanden, sind sie strukturell bedingt und werden immer wieder auftreten. SQL-Injections sind auf fehlende Eingabeprüfung der Applikation zurückzuführen – Software in PHP zu schreiben kann jeder, solche Fehlerquellen beim Schreiben der Applikation zu erkennen und solche Angriffsmöglichkeiten abzuwehren, das sind dann die Profis.

Bekannt ist, und daher gibt es ja ein mini-minor-Fix (also was ganz unwichtiges) auf 1.5.1.3 – über die Versionierung sollten sich die WPler noch mal Gedanken machen. Der bekannte Bug ist jedenfalls ein XML-RPC-Bug – hat prinzipiell erst einmal nichts mit SQL-Injection zu tun.

Dieser kritsiche Fehler in XML-RPC macht derzeit die Runde – wahrscheinlich haben alle die Implementierung voneinander abgeschreiben, nichts genauses sagt man nicht. So ist z.B. auch PEAR, die offizielle Erweiterungs-Bibliothek für PHP betroffen und es gibt seit Ende Juni ein Bugfix. Es wird aber nicht gesagt, warum – Bei jedem Release gibt es ein Changelog, nicht jedoch bei dem „Security fix. Update highly recommended!“. XML_RPC 1.3.1 – Security Through Obscurity
Auch die Implementierung in PHP war noch im RC2 von PHP 4.4.0 betroffen. Das aktuelle Release beseitigt neben dem (oder auch mehreren) Memory-Leak auch diesen Fehler.

Warum WordPress eine eigene XML-RPC mitbringt, und nicht auf eine PEAR-Standardinstallation zugreifen kann, ist eine Frage, die nur die Softwarearchitekten von WP beantworten können (sofern sich für diese Aufgabe jemand verantwortlich fühlt). Das sie nicht darauf vertrauen wollen, dass XML-RPC in der PHP-Konfiguration eingeschaltet ist, kann man verstehen. Aber eine PEAR-Klasse kann man recht einfch einbinden und auch im eigenen Verzeichnisbaum installieren.

Die code-Qualität von WP habe ich noch nicht ausreichend analysiert, nur schnell einen kleinen simplen Hack eingebaut, aber an die Regeln der GPL scheinen sie sich nicht stringent zu halten. Es ist nämlich sehr üblich und wird empfohlen:

„[….] zumindest aber sollte jede Datei eine Copyright-Zeile besitzen sowie einen kurzen Hinweis darauf, wo die vollständigen Vermerke zu finden sind. [….]“

Soetwas gibt es bei WP nicht. Lediglich eine Datei license.txt wird mitgeliefert.

Auch die Website ist nicht gerade benutzerfreundlich. Irgendwo hatte ich vorgestern dort gelesen, dass als „Würgaround“ das Löschen der xmlrpc.php vorgenommen werden soll, bevor dann irgendwann ein Update erfolgt – wenn diese xmlrpc so unwichtig ist, warum gib es die dann überhaupt?
Diesen Hinweis finde ich jetzt leider nicht mehr – er ist vom Erdboden verschluckt. Vielleicht war der Tipp gar nicht so clever, weil es, wenn man dies befolgt, zu einem merkwürdigen und instabilen Verhalten der Applikation kommt – und nach den ersten Fehlermeldungen durch die Community wurde der Tipp dann wieder kommentarlos entfernt?
Es ist auch nicht sehr auffällig, dass es sich bei dem aktuellen Release um ein wichtiges Sicherheitsupdate handelt. Soetwas muss auf einer Index-Seite stehen.

Dieser Text wurde am 16.07.2005 um 10:51 in der Kategorie Allgemein hinterlegt. Kommentare können mit dem RSS 2.0 Feed verfolgt werden. Du kannst auch Deinen eigenen Senf dazugeben, oder einen Verweis mittels Trackback von Deiner eigenen Seite vornehmen.