Yskin's Blog

今天进后台->管理->Spam Karma 2查看了一下垃圾留言，发现一条消息：

MAJOR SECURITY ANNOUNCEMENT
Affecting all WP users (this is not specifically a Spam Karma problem). Please immediately disable 'guest user registration' on your blog if it's enabled and advise all your friends to do so (details here). I cannot give too much technical details as it would further endanger vulnerable Wordpress users, but trust me this is not a joke.

事情看起来很严重，SK2的作者写了这篇文章和这篇文章，大概的意思就是说，请所有Wordpress用户立刻关闭“允许用户注册”的功能，并通知朋友也关闭这个功能，因为Wordpress出现了bug。作者说不能公开技术细节，因为怕更多的人被攻击。作者已经把详细的资料发给了Wordpress开发组，估计要等Wordpress 2.0.4发布并大多数人进行了更新后，相关的技术细节才会被公布。

估计没多少人开注册功能吧。在网上逛的时候，好像开用户注册的只有一些ASP架的Blog。希望这次影响不大，不过大概看了一下SK2作者的说明，这个漏洞已经被一些网站利用来做大范围的攻击了。

Update：7月28号发布的Wordpress 2.0.4已经修复了这个bug。7月26号SK2作者发出的通知，28号Wordpress就推出了新版本，有点奇怪啊，难道是针对这次事件做的紧急更新？仔细看了一下SK2作者在Wordpress更新后写的说明(大段的英文实在是头疼)，好像在指责Matt(Wordpress的主要作者之一)故意要隐瞒这次事件，以免影响投资者的信心。哎呀呀，好复杂的事情，我理解能力有限，英语水平也有限，实在理不出个头绪。

对于具体的事件我倒是不是太关心，我只是关心bug的具体技术细节，可是SK2作者并没有说清楚。在Wordpress 2.0.4修正的bug列表里找了一圈，看起来比较象的也就是这一条：Username/Nickname with spaces cannot delete it's own posts or comments，不过人家也说了:"this bug does not apply to trunk; everything is fine there."没办法，只有去比较Wordpress 2.0.3和2.0.4的代码，看看能不能找出来原因咯。大概看了一下，好像好几个地方加了类似if ( current_user_can('import') )这样的判断，wp-login.php对redirect_to进行了一些处理。既然SK2作者要求大家禁止用户注册并删除不认识的用户，那么应该是Wordpress没有处理好用户权限的问题，导致低等级用户可以越权做一些事情，也许是import？还是等作者公开吧，我英文菜，PHP也菜。