Software Guide

Die besten Tipps, Anleitungen und Downloads

Ihre Werbung auf Software Guide

Sie möchten in dieser Box oder an anderer Stelle dieser Webseiten eine Werbung schalten? Sehen Sie sich dazu am besten einfach mal die verschiedenen Möglichkeiten an.


Sicherheits-Update: WordPress-Plugin „Math Comment Spam Protection“

28. November 2007 von Michael | Wordpress

Ein Blogger namens MustLive hat eine Sicherheitslücke im von mir geschriebenen WordPress-Plugin Math Comment Spam Protection entdeckt: XSS in Math Comment Spam Protection.

Leider hat es MustLive nicht für nötig empfunden, mich als Autor über seine Entdeckung zu informieren, so dass ich davon nichts mitbekommen habe. Glücklicherweise hat mich aber Robert Basic heute per E-Mail auf den Artikel aufmerksam gemacht.

Ich habe daraufhin nun die Sicherheitslücke geschlossen und die Version 2.2 veröffentlicht, die zum Download zur Verfügung steht.

Die Sicherheitslücke war in allen bisherigen Plugin-Versionen enthalten und es war zumindest theoretisch möglich, über die Plugin-Optionen für die Ausgabe der Fehlermeldungen bei Eingabe einer falschen Lösung einen schadhaften Code auszuführen. Grundsätzlich empfehle ich jedem, das Update durchzuführen. Ich werde dies auch zum Anlass nehmen, meine anderen Plugins die nächsten Tage auf Sicherheitslücken zu prüfen.

Informationen zum Artikel:

Weiterblättern im Blog:

Was ist ein Trackback?

10 Trackbacks/Pings:

15 Comments:

Gravatar

1

Metty

28. November 2007, 7:01

Danke Michael für das Update :-)

Gravatar

2

Thomas

28. November 2007, 19:48

Ich nutze das Plugin sehr gerne und freue mich über das Update! Merci.
Lass Dir wegen sowas die Laune nicht verderben…

Gravatar

3

prinzzess

28. November 2007, 20:06

Schliess mich an! Danke, Michael!
Reicht das, wenn ich das alte Plugin lösch und das neue hochlade?
Oder muss ich sonst noch was beachten?

Gravatar

4

Dave

30. November 2007, 15:25

danke vielmals, dass ist super :-)

Gravatar

5

Michael (Author)

30. November 2007, 19:33

Gern geschehen :)

@Prinzzess, einfach neu hochladen passt, mehr brauchst Du nicht machen.

Gravatar

6

MustLive

2. Dezember 2007, 23:09

Michael

As I answered in comments at my site, I didn’t inform you about holes in your plugin yet because of a few reasons. 1st – because of lack of time (I’m very busy man and I was overloaded with my MoBiC project). And 2nd – because in Month of Bugs in Captchas project I decided not to inform all captchas developers in November, but to inform them in December (on the other hand I announced my project in October). It’s because of time which need to inform every captchas developers (in whose captchas I found holes) and also because of the idea of project, that developers must themselves watch to security of their captchas. Which is very easy with my project where I posted holes in captchas only, so no need to watch many sources, just watch my MoBiC project to find if your captcha is vulnerable, and if it is to fix it.

But in any case I was trying to inform beforehand users of those captchas (admins of sites) which will be in my project. In case of your plugin I informed admin of blog at tehposse.org (which use Math Comment Spam Protection).

And it is good, that you found this article (which was made for you and for every user of plugin) and already fixed the XSS holes. When I’ll find time I maybe look at new version of your plugin (to check how it was fixed).

But, Michael, as I see from you comment at my site and from post at your site, you fixed only XSS holes. But it’s only bonus post about XSS holes in Math Comment Spam Protection. The main post is about Insufficient Anti-automation hole in your plugin – it’s about bypassing captcha, which is main topic of MoBiC project. Did you read that article? I see you didn’t. I recommend you to read it too and to fix the hole.

P.S.

Also I found many vulnerabilities at your site which I told you about by email.

Gravatar

7

Tom

3. Dezember 2007, 13:37

Ich nutze das Plugin sehr gerne und freue mich über das Update!
Perfekte Arbeit. Weiter so!

Gravatar

8

dpal

7. Dezember 2007, 8:09

Danke für den Hinweis… Das Plugin-In ist übrigens wirklich klasse…

Gravatar

9

Ron

15. Dezember 2007, 21:18

Da verschlägt es mir ja fast die Sprache – ist ja nett, wenn man Bugs und Fehler findet. Aber man sollte dem Autor dann zumindest auch zügig Bescheid geben.

Also von meiner Seite möchte ich dir einfach Danken – super Plugin!!!

Gravatar

10

Christian

19. Dezember 2007, 2:30

Ich habe das Problem, dass ich eine Fehlermeldung bekomme.
Und zwar:

Error: Please press the back button and fill the required field for spam protection.

das passiert aber nur, wenn ich als ungereggter Gast was schreiben möchte. Wenn ich eingeloggt bin, dann funktioniert es.
Woran kann das liegen?

Gravatar

11

Gabriel

20. Dezember 2007, 13:45

finde ich praktisch ich hatte in einigen meiner Blogs massive Probleme mit Spam .. zumal ich auf gewissen Seiten gelistet wurde von diesen SEO Spamern :P

Gravatar

12

Dievochka

20. Dezember 2007, 15:19

Hallo.. ich bekomme dies Error-message :

Warning: array_rand() [function.array-rand]: Second argument has to be between 1 and the number of elements in the array in /home.10.24/webrefer/www/seocamp/blog/wp-content/plugins/math-comment-spam-protection/math-comment-spam-protection.classes.php on line 71

Wo kann ich berichtigen und wie ?
Danke
Dievochka

Gravatar

13

Oliver

21. Dezember 2007, 23:00

Hallo, ich bekomme folgende Fehlermeldung nach der Erstinstallation:

Warning: array_rand() [function.array-rand]: Second argument has to be between 1 and the number of elements in the array in /var/www/web/wp-content/plugins/math-comment-spam-protection/math-comment-spam-protection.classes.php on line 71

Gravatar

14

Talkteria

22. Dezember 2007, 7:28

@ Dievochka und Oliver

Nach der Erstinstallation müsst ihr in euren WP Admin bereich -> Einstellungen -> Math Comment Spam und dann auf „Update Options“ klicken.

Gravatar

15

Dievochka

22. Dezember 2007, 9:18

Danke, jetzt funktionniert es !

Die Kommentarmöglichkeit ist derzeit für diesen Artikel ausgeschaltet.

Blog-Kategorien

Volltextsuche

Neueste Artikel

Neueste Kommentare

Neueste Trackbacks/Pingbacks

Andere Projekte

Blogparade

dient als zentrale Anlaufstelle für Blog-Paraden bzw. Blog-Karnevals und andere von BloggerInnen veranstaltete Aktionen.

Mediadaten

Feed-Statistik:
Feedburner

Software Guide gibt es seit Dezember 2005 und es werden durchschnittlich 4 Blog- Beiträge/Monat veröffentlicht. Die Themenschwerpunkte sind in der Tagcloud ersichtlich. Mehr Infos...

Links

 

Nach oben

Wordpress

© 2005-2016 Software Guide | ISSN 1864-9599