Huch, in WordPress 2.2 ist eine Sicherheitslücke bekannt geworden. SQL-Injection. Und einen Exploit gibt es auch schon! OMG, ich habe doch hier auch WP 2.2 im Einsatz … ach naja, betrifft ja nur angemeldete Benutzer und so viele gibt es hier gar nicht. Also egal. Das Update habe ich trotzdem kurz eingespielt.
Sicherheitslücken bei PHP-Programmen lohnt es sich eigentlich gar nicht zu kommentieren. Da gibt es jeden Tag nicht nur eine Sau, die durch das virtuelle Dorf getrieben wird. Securityfocus dokumentiert das ja ganz schön. Interessant finde ich eigentlich was ganz anderes, was typisch ist für viele Sicherheitslücken.
Die Lücke ist schon vor über einer Woche von den WordPress-Entwicklern entdeckt und behoben worden, der Patch ist auch im Trac dokumentiert. Nur haben die Entwickler nicht erkannt, dass es sich hier um eine Lücke handelt, mit der ein Angreifer die Datenbank manipulieren kann. Das sah wie ein ganz einfacher Programmierfehler aus und wird folglich behoben. Irgendjemand (in diesem Fall mit dem Pseudonym Slappter) mit einem Blick für solche Fehler hat vermutlich das Update im Trac gesehen, erkannt, dass die Lücke angreifbar ist und einen Exploit programmiert. Und da die Entwickler die Lücke für irrelevant gehalten haben, wurde niemand benachrichtigt.
Dieses Problem tritt öfter auf, vor einiger Zeit gab es einen spektakulären Fall im Linux-Kernel, potentiell sind aber natürlich alle Open Source Programme davon betroffen. Microsoft nutzt solche Argumente deshalb gerne, um für ihren angeblich so „responsible disclosure“ Prozess zu werben. Leider ist das reine Augenwischerei, wie die Advisories von eEye (eine Lücke in Microsoft Windows ist seit 227 Tagen ohne Patch, aber solange kein Exploit frei verfügbar ist, interessiert das den Hersteller offensichtlich einen Dreck) oder die Geschichte von HD Moore (im Patch für Microsoft RRAS ist nicht nur der angegebene Fehler sondern stillschweigend ein viel kritischerer Fehler behoben worden, über den der Hersteller im Advisory leider gar nichts gesagt hat, weshalb viele Firmen den Patch erst sehr spät einspielten) beweisen.
Womit wir wieder beim Thema wären. Auch wenn in diesem Fall theoretisch sogar mein eigenes Blog gefährdet gewesen ist, gefällt mir die offene Veröffentlichungspraxis von WordPress, Linux, Metasploit, Milw0rm und Co. besser als die unverantwortliche Geheimhaltungspraxis von Microsoft. Oder noch schlimmer von HP, die Sicherheitsforscher sogar verklagen wollten.