andi.de » Webtechnik

Aufgeräumt

Andi — Sun, 28 Dec 2008 01:13:24 +0000

Was macht man mit einer Wordpress-Installation mit Version 2.3 und einem Theme, das ungefähr ebenso alt ist?
Man nimmt sich einen Feiertag lang Zeit und bringt beides auf aktuellen Stand – Wordpress hat’s überlebt (mit einigem Fummeln), das Theme nicht — deswegen gibt’s jetzt ein Neues.
So langsam sollte wieder alles laufen, und jetzt auch wieder ein bisschen besser und schneller als vorher (alle Ecken sind ent-staubt ).

Weg damit

Andi — Tue, 01 May 2007 20:44:10 +0000

Hin und wieder ist es nötig, aber ein bisschen Respekt hat man doch jedesmal wieder davor — und checkt fünfmal, dass man es auch auf der richtigen Maschine ausführt… :

dd if=/dev/zero of=/dev/sda bs=10240
dd if=/dev/zero of=/dev/sdb bs=10240

Und tschüß

Update auf Wordpress 2.1

Andi — Sun, 29 Apr 2007 14:46:50 +0000

Gut drei Monate nach Erscheinen der neuen Versionslinie 2.1 von Wordpress habe ich es endlich auch geschafft, auf die neue Version umzusteigen.
Nach einigen Plugin-Updates und kleinen Anpassungen am Theme sollte nun wieder alles so laufen wie zuvor.
Sollte jemand Fehler entdecken bitte ich um eine kurze Nachricht .

Wordpress-Update erschienen

Andi — Thu, 05 Apr 2007 11:27:28 +0000

Für das Blog-System Wordpress sind Sicherheitsupdates für den 2.0- sowie den 2.1-Versionszweig erschienen. Die Versionen 2.0.10 und 2.1.3 beheben einige kleinere Fehler im XML-RPC-System und Cross-Site-Scripting-Anfälligkeiten.
Ein Update sollte daher von allen Anwendern zeitnah durchgeführt werden.
Für Nutzer der deutschen Version steht wieder ein Upgradepaket mit allen auszutauschenden Dateien bereit.

wordpress.org gehackt

Andi — Sat, 03 Mar 2007 10:50:27 +0000

Dem Download-Server von wordpress.org ist das passiert, was man wohl als GAU bezeichnen darf: ein unbekannter Cracker hatte sich Zugang verschafft und die dort abgelegte Version 2.1.1 mit Codeänderungen versehen, die potentielle Sicherheitslücken darstellen.
Wer in den letzten 3-4 Tagen die englischsprachige Version geladen hat ist somit angreifbar und muss dringend auf die neu verfügbare (und sichere) Version 2.1.2 updaten; die deutsche Lokalisation war nicht betroffen, da diese anderweitig gehostet wird, ebenso ist die alte Versionschiene 2.0 sauber.
Wer die Möglichkeit hat (sei es als Hoster oder als Selbstschrauber) sollte als Sofortmaßnahme bis zum Update Zugriffe auf theme.php und feed.php unterbinden und alle HTTP-Anfragen mit den Zeichenfolgen ix= oder iz= blocken.
Ein lokalisiertes Update-Paket der deutschen Version ist zum Download bereit, ebenso die englischsprachige Version.
Nähere Informationen zu den Vorgängen gibt es im deutschen Wordpress-Blog.

Wordpress: Cross-Site-Scripting-Lücke

Andi — Wed, 28 Feb 2007 13:38:08 +0000

Im 2.1-Versionspfad von WordPress sind erneut Sicherheitslöcher entdeckt worden, welche für Cross-Site-Scripting-Attacken genutzt werden können.
Eingaben an den Parameter ‘post’ in der Datei /wp-admin/post.php (falls “action” auf “delete” oder “deletecomment” gesetzt ist) werden nicht korrekt gefiltert, bevor sie an einen Benutzer zurückgegeben werden. Dies kann ausgenutzt werden, um im Kontext einer betroffenen Seite beliebigen HTML- und Scriptcode in der Browsersitzung eines Benutzers auszuführen und hierbei z.B. Cookie-Daten an fremde Server zu senden.
Für eine erfolgreiche Ausführung muss der betroffende Nutzer als Administrator angemeldet sein.
Ein weiterer Fehler betrifft die Suchfunktion. Sobald ein einzelnes Komma ohne zusätzliche Zeichen an die Suchmethode übermittelt wird, verabschiedet sich diese mit einem SQL-Fehler:

WordPress database error: [You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ') AND ((post_status = 'publish' OR post_status = 'private')) ORDER BY post_dat' at line 1] SELECT SQL_CALC_FOUND_ROWS wp_posts.* FROM wp_posts WHERE 1=1 AND () AND ((post_status = 'publish' OR post_status = 'private')) ORDER BY post_date DESC LIMIT 0, 10

Ein weiterer SQL-Inject durch dieses Problem ist bisher nicht bekannt.
Beide Fehler wurden im SVN-Trunk behoben, ein offizieller Bugfix oder Patch ist bislang nicht erhältlich. Bis zum Erscheinen eines solchen empfielt sich Vorsicht oder z.B. eine zusätzliche Absicherung durch mod_security o.ä.

DoS-Angriffe erfolgreich aufhalten

Andi — Fri, 16 Feb 2007 23:50:30 +0000

Immer wieder versuchen nervige Script-Kiddies, Spam-Bots oder sonstige bösgestimmte Zeitgenossen, durch viele Anfragen an Webserver in sehr kurzer Zeit deren Funktion zu beeinträchtigen und die Auslieferung der Inhalte an „normale“ Besucher dadurch zu erschweren oder gar ganz zu verhindern.
Heutzutage generieren sich viele Webprojekte aus dynamisch erzeuten Seiten; die Bildung der Inhalte benötigt daher Rechenzeit und Speicher auf derm Webserver, was das DoS-Problem verstärkt. Durch zu viele Anfragen in zu kurzer Zeit steigt die CPU-Auslastung an und in ungünstigen Situation ist kein Seiteaufbau mehr möglich, da dem Server der RAM ausgeht.
Um hier Entlastung zu bringen wurde das Apache-Modul mod_evasive entwickelt (Download-Mirror), welches die maximal möglichen Verbindungen pro IP-Adresse kontrolliert und im Bedarfsfall abblockt.
mod_evasive erstellt intern eine Liste von zugreifenden IPs und angeforderten URLs. Sobald in einer einstellbaren Zeitspanne ein festgelegter Schwellwert überschritten wird, lehnt das Modul weitere Zugriffe innerhalb einer Blacklist-Frist mit einem 403-Forbidden-Fehler ab — hierduch erfolgt kein rechenintensiver Aufruf von Inhalten mehr und viele DoS-Attacken laufen ins Leere.
Die Installation ist einfach. Das Modul kann im Quelltext bezogen werden und bei installieren Apache-dev-Quellen simpel durch Aufruf von

apxs -i -a -c mod_evasive20.c

kompiliert und den Apache-Modulen zugefügt werden.
Bei der Installation wird ein Eintrag in die httpd.conf eingefügt; zusätzlich empfiehlt sich, die Parameter von mod_evasive an die eigenen Bedürfnisse anzupassen.
Hierzu fügt man in der Apache-Konfiguration einen Abschnitt ein:


    DOSHashTableSize    3096
    DOSPageCount        5
    DOSSiteCount        50
    DOSPageInterval     1
    DOSSiteInterval     1
    DOSBlockingPeriod   10

Die Bedeutung der einzelnen Option sind in der Dokumentation erläutert.
Nach einem Neustart von Apache greift der Schutz. Bei Bedarf kann bei IP-Blacklistungen eine eMail an eine beliebige Adresse geschickt werden. Hierzu kann man oben zusätzlich die Option DOSEmailNotify admin@mydomain.net mit passender Adresse eintragen.
Anzumerken bleibt, dass mod_evasive zwar eine deutliche Lastreduktion bei Angriffen bieten kann, einen vollständigen Schutz leistet aber nur ein Abblocken der DoS-Pakete mittels Firewall, bevor sie Apache überhaut erreichen können.

Wordpress 2.1 jetzt auch auf deutsch

Andi — Mon, 29 Jan 2007 00:06:01 +0000

Seit ein paar Stunden ist auch die deutsche Version der neuen Versionsschiene 2.1 von Wordpress („Ella“) zum Download verfügbar. Neben der Übersetzung der systemweiten Termini beinhaltet die lokalierte Ausgabe kleinere Anpassungen an den Betrieb in deutschsprachigen Systemen. Dazu zählen z.B. der Einsatz des LEO-Wörterbuchs im WYSIWYG-Editor, die Einbindung des Feeds von WPD anstelle der amerikanischen Ausgabe und eine deutsche Fassung des Standardthemes.
Da Wordpress 2.1 eine weitreichende Änderung der Blogsoftware darstellt gibt es kein Update-Paket und es müssen alle Dateien ausgetauscht werden.
Da ein Downgrade wegen Änderungen am Datenbankformat nach einem gestarteten Umstieg auf Version 2.1 nicht mehr möglich ist, muss hierbei ganz besonders auf ein vollständiges und funktionsfähiges Backup vor der Arbeit geachtet werden, um bei Problemen den alten Zustand wieder herstellen zu können.
Ich habe in einer Testinstallation die Grundfunktionalität von Theme und den wichtigsten Plugins getestet und dort funktioniert soweit alles – mit einigen kleinen Änderungen. Da aber von einigen wichtigen Plugins (z.B. UTW oder MoreSmilies) noch keine kompatible Version bereitsteht wird das Update im Produktivsystem wohl noch ein bisschen warten müssen

Sicherheitslücke in Wordpress 2.0.6

Andi — Thu, 11 Jan 2007 13:17:04 +0000

Schon kurz nach Erscheinen der letzten Version 2.0.6 von Wordpress, die u.a. auch Sicherheitslücken schloss, taucht nun erneut eine kritische Lücke auf, die auch bei Version 2.0.6 noch funktioniert. Neben Nennung der für die Ausführung nötigen Voraussetzungen wurde auch sofort ein passender Exploit mitgeliefert.
Es wird eine Lücke in der Datei wp-trackback.php ausgenützt, um mittels SQL-Injection Passwörter auszulesen.
Als Voraussetzung für den Exploit ist (einmal mehr) die PHP-Option register_globals=on von Nöten (eine der schlimmsten Sicherheitsproblemstellen in PHP), ausserdem PHP-Version zwischen 4 und 4.4.3, bzw. kleiner 5.1.4.
Es empfiehlt sich, bis ein Patch die Lücke schließt, entweder dafür zu sorgen, dass register_globals nicht aktiviert ist (leider bei vielen shared hosting – Paketen immer noch aktiv), oder temporär die Datei wp-trackback.php umzubenennen (oder zu löschen) — als „Nebenwirkung“ werden dann temporär keine Trackbacks mehr empfangen.
Es gibt ferner Spekulationen, dass ebengenannter Exploit auch dazu benutzt worden sein könnte, um heute Nacht das Firmen-Weblog der Studentencommunity StudiVZ mit einem ‘Defacement‘ zu versehen und dort eine Gegendarstellung des CCC zu veröffentlichen (inzwischen ist das Blog komplett offline). Solange hierzu allerdings keine offizielle Verlautbarung des Betreibers vorliegt kann dies aber nur vermutet werden.

Update:
In einem Artikel bei heise online stellt der PHP-Experte Stefan Esser einige Details klarer dar:

Laut Esser liegt der Fehler, den der neue Exploit ausnutzt, nicht bei Wordpress selbst, da es Sicherheitsabfragen gegen die eingesetzte Einbruchstechnik enthält. Laufe ein Server allerdings mit einer PHP-Version, die den Bug zend_hash_del_key_or_index aufweist, lasse sich der implementierte Schutz aushebeln, so Esser. (…) In aktuellen Linux-Distributionen ist die Lücke nicht enthalten. Auch in der unter Debian-Stable eingesetzten [PHP-]Version 4.3.10 ist die Schwachstelle bereits seit August behoben.

Wordpress: Update und Probleme mit Feedburner

Andi — Sun, 07 Jan 2007 16:04:06 +0000

Seit gestern ist das deutschsprachige Update auf Wordpress 2.0.6 verfügbar. Neben einiger kleiner Neuerungen (HTML Quicktags für Safari, kosmetische Korrekturen im Adminbereich, Kompatibilität mit FastCGI verbessert) sind auch zwei kritische Sicherheitslücken geschlossen worden, die neue Version sollte daher baldmöglichst übernommen werden.
Leider hat sich in Version 2.0.6 ein ärgerlicher Fehler bei der Auslieferung der RSS-Feeds mittels FeedBurner eingeschlichen. Bei Apache-Konfigurationen mit mod_php (weit verbreitet) kann es in einigen Fällen zu Fehlern bei FeedBurner kommen, wenn sich der Feedinhalt nicht geändert hat (304 – Not Modified). Neue Beiträge werden trotzdem korrekt ausgeliefert.
Als Workaround kann eine geänderte Fassung der Datei wp-includes/functions.php eingespielt werden.