Kommentare zu: WordPress-Team verheimlicht Details über Sicherheitslücken

Von: Juergen Kreileder

Juergen Kreileder — Fri, 19 Aug 2005 09:08:20 +0000

Leider scheinen die WordPress developer nicht nur Probleme mit der Informationspolitik zu haben, sondern auch mit dem Releasemanagement: Von 1.5.2 gibt es zwei Versionen. Die erste Version, die das aktuelle Sicherheitsproblem nicht behoben hat, war einige Stunden lang auf wordpress.org zu erhalten und wurde dann still und leise durch eine zweite gefixte 1.5.2 Version ersetzt. Natürlich wird auch dieser Fehler verschwiegen. Siehe WordPress - irresponsible silent tarball update

Von: Michael Pietroforte

Michael Pietroforte — Mon, 15 Aug 2005 16:07:40 +0000

Mir scheint, als wenn da jetzt hauptsächlich an der 1.6er-Version gearbeitet wird. Ich habe das Upgrade übrigens inzwischen durchgeführt. Bisher sehe ich noch keine Probleme.

Von: christoph-hoerl.de

christoph-hoerl.de — Mon, 15 Aug 2005 16:07:08 +0000

Wordpress 1.5.2

Gestern wurde die Version 1.5.2 von Wordpress veröffentlicht. Wie im Weblog deutlich wird, wurden keine sichtbaren Updates vorgenommen. Hauptsächlich wurden Sicherheitslücken geschlossen. Eine detaillierte Liste der Änderungen gibt es im Support….

Von: Sören Weber

Sören Weber — Mon, 15 Aug 2005 15:45:03 +0000

Mal ganz abgesehen vom Aspekt, Sicherheitslücken offenzulegen: Releasenotes für dieses Update sind quasi nicht existent. Das Wiki kann z.Z. nicht editiert werden, die Upgrade-Anleitung findet sich in einem Blog-Post. Hey, so veröffentliche ich kein neues Release. Das ist Bananen-Software. Oder kann mir jemand auf Anhieb sagen, welche neuen Hooks es gibt? Ja, auch ich kann diffs lesen, aber es kann nicht angehen, dass ich je nach Release mir erstmal diffs und Änderungshistorie von 10-50 Dateien reinziehen muss.

Von: Michael Pietroforte

Michael Pietroforte — Mon, 15 Aug 2005 14:43:47 +0000

Es geht wie gesagt nicht darum, zu verhindern, dass Hacker die Sicherheitslücke aufspüren, sondern darum, die Hürde etwas höher zu legen. Das ist bei Sicherheitsfragen immer der Punkt. Wenn man auf einem viel gelesenen Blog schreibt, dass eine so häufig eingesetzte und im Netz leicht aufzuspürende Software wie Wordpress eine schwerwiegende Sicherheitslücke hat, lenkt man die Aufmerksamkeit vieler erst darauf. So mancher würde einfach aus Jux und Tollerei auf die Idee kommen, ein Exploit zu schreiben. Und ein Administrator sollte grundsätzlich immer sicherheitsrelevante Patches einspielen. Sollte es Probleme geben, kann man das bei WP ja leicht wieder rückgängig machen.

Von: Juergen Kreileder

Juergen Kreileder — Mon, 15 Aug 2005 14:22:55 +0000

Ich sehe die Sicherheitslücken durchaus. Das ändert nichts daran, daß die announcements der WordPress developer zu vage sind. Benutzer sollten aus security announcements zumindest erkennen können, ob sie davon betroffen sind und wie schwerwiegend das Problem ist.

Da der source code für WordPress öffentlich zugänglich ist, bringt die Geheimnistuerei eh wenig. Jeder halbwegs intelligente Hacker kann diffs lesen; wenn einer svn oder die changesets auf trac.wordpress.org verfolgt, hat er Probleme auch schon gekannt, bevor das Update veröffentlicht worden ist.