Sicherheits-Update: WordPress-Plugin “Math Comment Spam Protection”
28. November 2007 von Michael | Wordpress
Ein Blogger namens MustLive hat eine Sicherheitslücke im von mir geschriebenen WordPress-Plugin Math Comment Spam Protection entdeckt: XSS in Math Comment Spam Protection.
Leider hat es MustLive nicht für nötig empfunden, mich als Autor über seine Entdeckung zu informieren, so dass ich davon nichts mitbekommen habe. Glücklicherweise hat mich aber Robert Basic heute per E-Mail auf den Artikel aufmerksam gemacht.
Ich habe daraufhin nun die Sicherheitslücke geschlossen und die Version 2.2 veröffentlicht, die zum Download zur Verfügung steht.
Die Sicherheitslücke war in allen bisherigen Plugin-Versionen enthalten und es war zumindest theoretisch möglich, über die Plugin-Optionen für die Ausgabe der Fehlermeldungen bei Eingabe einer falschen Lösung einen schadhaften Code auszuführen. Grundsätzlich empfehle ich jedem, das Update durchzuführen. Ich werde dies auch zum Anlass nehmen, meine anderen Plugins die nächsten Tage auf Sicherheitslücken zu prüfen.
Was ist ein Trackback?
10 Trackbacks/Pings:
1
Basic Thinking Blog | Math Comment Plugin
Pingback vom 28. November 2007, 2:18
hat aufgrund eines potentiellen Sicherheitslecks sein Math Comment Spam Plugin (Wordpress) nachbearbeitet und in der V 2.2 zum Download bereitgestellt. Danke! Auch an Stebu fü…
2
[Wordpress] Sicherheitsloch im Mathe-Plugin » Blog Archive » [Wordpress] Sicherheitsloch im Mathe-Plugin
Pingback vom 28. November 2007, 6:48
sollte schnellstens das Plugin auf den aktuellen Stand bringen. Mehr Infos gibt es hier bei dem Entwickler. Da fällt mir ein, dass ich das Plugin ja auch nur temporär dea…
3
Plugin-Update = Math Comment Spam - FamLog.de - DAS FAMilienbLOG !!!
Pingback vom 28. November 2007, 7:53
gibt ein Sicherheits-Update vom Math Comment Spam Protection
4
Neues Spam-Abwehr-System » Blogwiese
Pingback vom 28. November 2007, 8:26
dem Michael bei dem Plugin gestern noch ein Sicherheitsloch geflickt hatte, bin ich darauf aufmerksam geworden. Und da ich bei SpamKarma nun mittlerweilen die 15.000
5
SchnuttenSALAT
Trackback vom 28. November 2007, 10:47
Handarbeit notwendig…... Da bei dem Math Comment Spam Protection Plugin ein Sicherheitsproblem aufgetaucht ist, habe ich mal die neue Version auf den Server geschoben. Die Si…
6
Updaten: Math Comment Spam Protection » » Meerblickzimmer
Pingback vom 28. November 2007, 11:03
das » Math Comment Spam Protection” Plugin in seinem WordPress Blog installiert hat, sollte schnellstmöglich updaten.
7
fk:Blog - Fabians Weblog
Trackback vom 28. November 2007, 11:29
Sicherheitslücke in Math-Spam-Protektion... Soeben in meinen Feedreader eingeflogen mit einen wichtigen Hinweis an allen Nutzer des Spam Mechanichmus “Math-Spam-Protektion&#…
8
Flush | F!XMBR
Pingback vom 29. November 2007, 11:07
Sicherheits-Update: WordPress-Plugin Math Comment Spam Protection Schon ein paar Tage alt - ein Update für die Rechenaufgabe, eine XSS-Lücke wird geschlossen…
9
WP-Plugin “Math Comment Spam Protection 2.1″ Sicherheits-Update » Brandt Aktuell
Pingback vom 1. Dezember 2007, 20:22
das WordPress-Plugin “Math Comment Spam Protection” auf seinem WordPress Blog installiert hat, sollte so schnell wie möglich ein Update einspielen, da
10
BIG DAY Kalender blog - Geschenkidee, Geburtstagsgeschenk, Kindergeburtstag, Geschenk, Idee, Geburtstag, Kinder
Pingback vom 3. Januar 2008, 17:50
Recent Comments Math Comment Spam Protection Social Bookmarking Subscribe To
15 Comments:
1
Metty
28. November 2007, 7:01
Danke Michael für das Update :-)
2
Thomas
28. November 2007, 19:48
Ich nutze das Plugin sehr gerne und freue mich über das Update! Merci.
Lass Dir wegen sowas die Laune nicht verderben…
3
prinzzess
28. November 2007, 20:06
Schliess mich an! Danke, Michael!
Reicht das, wenn ich das alte Plugin lösch und das neue hochlade?
Oder muss ich sonst noch was beachten?
4
Dave
30. November 2007, 15:25
danke vielmals, dass ist super :-)
5
Michael (Author)
30. November 2007, 19:33
Gern geschehen :)
@Prinzzess, einfach neu hochladen passt, mehr brauchst Du nicht machen.
6
MustLive
2. Dezember 2007, 23:09
Michael
As I answered in comments at my site, I didn’t inform you about holes in your plugin yet because of a few reasons. 1st – because of lack of time (I’m very busy man and I was overloaded with my MoBiC project). And 2nd – because in Month of Bugs in Captchas project I decided not to inform all captchas developers in November, but to inform them in December (on the other hand I announced my project in October). It’s because of time which need to inform every captchas developers (in whose captchas I found holes) and also because of the idea of project, that developers must themselves watch to security of their captchas. Which is very easy with my project where I posted holes in captchas only, so no need to watch many sources, just watch my MoBiC project to find if your captcha is vulnerable, and if it is to fix it.
But in any case I was trying to inform beforehand users of those captchas (admins of sites) which will be in my project. In case of your plugin I informed admin of blog at tehposse.org (which use Math Comment Spam Protection).
And it is good, that you found this article (which was made for you and for every user of plugin) and already fixed the XSS holes. When I’ll find time I maybe look at new version of your plugin (to check how it was fixed).
But, Michael, as I see from you comment at my site and from post at your site, you fixed only XSS holes. But it’s only bonus post about XSS holes in Math Comment Spam Protection. The main post is about Insufficient Anti-automation hole in your plugin – it’s about bypassing captcha, which is main topic of MoBiC project. Did you read that article? I see you didn’t. I recommend you to read it too and to fix the hole.
P.S.
Also I found many vulnerabilities at your site which I told you about by email.
7
Tom
3. Dezember 2007, 13:37
Ich nutze das Plugin sehr gerne und freue mich über das Update!
Perfekte Arbeit. Weiter so!
8
dpal
7. Dezember 2007, 8:09
Danke für den Hinweis… Das Plugin-In ist übrigens wirklich klasse…
9
Ron
15. Dezember 2007, 21:18
Da verschlägt es mir ja fast die Sprache – ist ja nett, wenn man Bugs und Fehler findet. Aber man sollte dem Autor dann zumindest auch zügig Bescheid geben.
Also von meiner Seite möchte ich dir einfach Danken – super Plugin!!!
10
Christian
19. Dezember 2007, 2:30
Ich habe das Problem, dass ich eine Fehlermeldung bekomme.
Und zwar:
das passiert aber nur, wenn ich als ungereggter Gast was schreiben möchte. Wenn ich eingeloggt bin, dann funktioniert es.
Woran kann das liegen?
11
Gabriel
20. Dezember 2007, 13:45
finde ich praktisch ich hatte in einigen meiner Blogs massive Probleme mit Spam .. zumal ich auf gewissen Seiten gelistet wurde von diesen SEO Spamern :P
12
Dievochka
20. Dezember 2007, 15:19
Hallo.. ich bekomme dies Error-message :
Wo kann ich berichtigen und wie ?
Danke
Dievochka
13
Oliver
21. Dezember 2007, 23:00
Hallo, ich bekomme folgende Fehlermeldung nach der Erstinstallation:
Warning: array_rand() [function.array-rand]: Second argument has to be between 1 and the number of elements in the array in /var/www/web/wp-content/plugins/math-comment-spam-protection/math-comment-spam-protection.classes.php on line 7114
Talkteria
22. Dezember 2007, 7:28
@ Dievochka und Oliver
Nach der Erstinstallation müsst ihr in euren WP Admin bereich -> Einstellungen -> Math Comment Spam und dann auf “Update Options” klicken.
15
Dievochka
22. Dezember 2007, 9:18
Danke, jetzt funktionniert es !
Die Kommentarmöglichkeit ist derzeit für diesen Artikel ausgeschaltet.