WordPress 2.8.5 veröffentlicht

wordpress-logo01Mit der kommenden Version 2.9 der bekannten Blog-Software WordPress soll es vor allem eine Reihe von Sicherheitsverbesserungen geben. Im Vorgriff wurde nun zwischendurch die Version 2.8.5. online gestellt und einzelne Features zurückportiert. So wurde eine DoS-Schwachstelle bei den Trackbacks geschlossen und sicherheitsanfällige Code-Teile gelöscht. Ausserdem wurde die Upload-Routine nun auch für Administratoren eingeschränkt. Um Angreifern, die sich Zugang zu Administratoren-Konten verschafft haben, das Einschleusen von Schadcode zu erschweren, gilt die sogenannte MIME-Type-Whitelist nun auch für Administratoren und nicht mehr nur für „normale“ Autoren.

Ein Update wird dringend empfohlen. Vor dem Update sollte man alle Dateien der eigene Website sichern, ein Backup der Datenbank anlegen und zur Sicherheit noch alle Plugins deaktivieren!

Zum Download von WordPress 2.8.5

Massive Sicherheitslücke beim SchülerVZ

schuelervz-logoDie bekannte und bei Schülern beliebte Internet-Community SchülerVZ ist das Opfer eines Daten-Crawlers geworden, was auf erhebliche Sicherheitslücken hindeutet. Von der insgesamt rund 5,5 Millionen starken Community wurden über 1 Millionen personenbezogene Daten wie Namen Geschlecht, Alter, besuchte Schule und das Profilfoto über einen Bot ausgelesen. Auch wenn die Mainstream-Presse aktuell sehr oft den Begriff Datendiebstahl verwendet, passt das hier m.E. nicht, denn es wurden „lediglich“ die für Community-Nutzer offen zugänglichen Daten ausgelesen. Vertrauliche Informationen wie Post- und E-Mail-Adressen scheinen hiervon nicht betroffen zu sein, womit ein Hacker-Angriff auf die Datenbank eher unwahrscheinlich ist.

Prekär ist das ganze aber alleine schon deswegen, weil es sich bei den Nutzern i.w. um Schüler im Alter von 12-18 Jahren handelt und gerade bei diesem Personenkreis sollte der Datenschutz besonders wichtig sein. Im VZ-Netzwerk-Blog gibt es auch eine Stellungnahme, in der u.a. versprochen wird:

Wir haben sofort Maßnahmen ergriffen, um weitere illegale Zugriffe auszuschließen.

Inwiefern es sich wirklich um illegale Zugriffe handelt, bleibt dahingestellt, ich hoffe nur, dass das VZ-Netzwerk ihre Sicherheitsmaßnahmen weiter verschärfen wird.

Update vom 20.10.2009

Wie AFP berichtet, wurde heute ein Verdächtiger in diesem Fall wegen versuchter Erpressung festgenommen. Scheinbar hat der Daten-Crawler bei einem Gespräch mit den VZ-Betreibern 80.000 Euro gefordert haben, ansonsten würde er die Daten in den osteuropäischen Raum verkaufen.

Löschen statt Sperren – FDP setzt sich durch

Auch wenn die Koalitionsverhandlungen in Berlin zwischen CDU/CSU und FDP bei weitem noch nicht abgeschlossen sind, so gibt es laut Agenturmeldungen zumindest im Bereich der Inneren Sicherheit Einigkeit was die wichtigen Themenbereiche Online-Durchsuchungen, Vorratsdatenspeicherung und Internetsperren betrifft. Und wie es sich laut Inforamtionen von Heise (Internetsperren sind vorerst vom Koalitionstisch / Koalitionsvereinbarung: Web-Sperren weg, Vorratsdatenspeicherung eingeschränkt) zeigt, konnte die FDP hier deutlich mehr Schwerpunkte setzen:

So wird die Online-Durchsuchung zukünftig nur noch auf Antrag der Bundesanwaltschaft möglich sein und darf auch weiterhin nur durch das BKA vorgenommen werden. Eine Ausweitung auf andere Behörden wie der Bundesverfassungsschutz sind damit vom Tisch. Bei der Vorratsdatenspeicherung soll die Nutzung der Daten weiter eingeschränkt werden und nur in besonders schweren Fällen genutzt werden kann. Auch eine Aussetzung der Vorratsdatenspeicherung bis zur endgültigen Entscheidung des Bundesverfassungsgerichtes wird nicht ausgeschlossen. Ausgesetzt werden kann diese Form der Überwachung derzeit nicht, da es sich um ein europäisches Gesetz handelt.

Besonders freut es mich natürlich, dass die umstrittenen Internetsperren gestoppt wurden. Das entsprechende Gesetz, dass noch von der Großen Koalition auf den Weg gebracht wurde, wird zunächst für ein Jahr ausgesetzt, damit sich in dieser Zeit das BKA nach dem Motto Löschen statt Sperren verstärkt um den Ausbau der internationalen Zusammenarbeit zum Löschen dieser Inhalte kümmern kann. Die Weitergabe von Sperrlisten an die Zugangsanbieter wird während dieser Zeit nicht stattfinden. Nach Ablauf des Jahres sollen die Ergebnisse dieser Maßnahmen ausgewertet werden, um dann eine endgültige Entscheidung zu treffen.

Sicherlich wäre auch für mich eine komplette Gesetzesrücknahme noch besser gewesen, aber Koalitionsverhandlungen sind nunmal grundsätzlich von Kompromissen geprägt und niemand wird 100% seiner Vorstellungen durchsetzen können. Viel wichtiger ist für mich das Ziel:

Für die Liberalen handelt es sich dabei um eine Lösung, die es der Union beim Abschied vom Web-Sperren ermöglicht, das Gesicht zu wahren. Man werde nach Ablauf der Frist darauf drängen, das Zugangserschwerungsgesetz komplett aufzuheben.

Die Verhandlungsführerin der Liberalen in der Arbeitsgruppe, die bayerische FDP-Vorsitzende Sabine Leutheusser-Schnarrenberger, ergänzte, dass „kinderpornographische Abbildungen und Texte aus dem Netz entfernt“ werden müssten. Das Internet sei schließlich kein „rechtsfreier Raum“. Konkret setzen die Liberalen vor allem auf die Internetwirtschaft und die Verbesserung von Hotlines zum Löschen illegaler Inhalte wie INHOPE, dass das BKA auf dem kleinen Dienstweg über eine direkte Ansprache von Providern ohne den Umweg über ausländische Polizeibehörden mehr zum Entfernen kinderpornographischer Angebote aus dem Netz beitragen könnte.

In einem Jahr wird sich die FDP genau daran messen lassen müssen und ich glaube nicht, dass irgendjemand in der Parteizentrale davon ausgeht, dass dies bis dahin vergessen sein wird. Dafür wird das Web schon sorgen!