Sicherheitslücke in WordPress 2.0.6

Schon kurz nach Erscheinen der letzten Version 2.0.6 von WordPress, die u.a. auch Sicherheitslücken schloss, taucht nun erneut eine kritische Lücke auf, die auch bei Version 2.0.6 noch funktioniert. Neben Nennung der für die Ausführung nötigen Voraussetzungen wurde auch sofort ein passender Exploit mitgeliefert.
Es wird eine Lücke in der Datei wp-trackback.php ausgenützt, um mittels SQL-Injection Passwörter auszulesen.
Als Voraussetzung für den Exploit ist (einmal mehr) die PHP-Option register_globals=on von Nöten (eine der schlimmsten Sicherheitsproblemstellen in PHP), ausserdem PHP-Version zwischen 4 und 4.4.3, bzw. kleiner 5.1.4.
Es empfiehlt sich, bis ein Patch die Lücke schließt, entweder dafür zu sorgen, dass register_globals nicht aktiviert ist (leider bei vielen shared hosting – Paketen immer noch aktiv), oder temporär die Datei wp-trackback.php umzubenennen (oder zu löschen) — als „Nebenwirkung“ werden dann temporär keine Trackbacks mehr empfangen.
Es gibt ferner Spekulationen, dass ebengenannter Exploit auch dazu benutzt worden sein könnte, um heute Nacht das Firmen-Weblog der Studentencommunity StudiVZ mit einem ‘Defacement‘ zu versehen und dort eine Gegendarstellung des CCC zu veröffentlichen (inzwischen ist das Blog komplett offline). Solange hierzu allerdings keine offizielle Verlautbarung des Betreibers vorliegt kann dies aber nur vermutet werden.

Update:
In einem Artikel bei heise online stellt der PHP-Experte Stefan Esser einige Details klarer dar:

Laut Esser liegt der Fehler, den der neue Exploit ausnutzt, nicht bei WordPress selbst, da es Sicherheitsabfragen gegen die eingesetzte Einbruchstechnik enthält. Laufe ein Server allerdings mit einer PHP-Version, die den Bug zend_hash_del_key_or_index aufweist, lasse sich der implementierte Schutz aushebeln, so Esser. (…) In aktuellen Linux-Distributionen ist die Lücke nicht enthalten. Auch in der unter Debian-Stable eingesetzten [PHP-]Version 4.3.10 ist die Schwachstelle bereits seit August behoben.

4 Kommentare

  1. Was ist das für ein cooler Tooltip mit Screen-Preview der verlinkten Sites?
    Danke für deinen Tip!
    LG Dirk

  2. Dirk (12.12.07, 16:30):

    Aehm, und gibt es die Lücke auch in 2.0.5?
    Danke
    LG Dirk

    Die Meinungen gehen auseinander, ob es nun eine Lücke in WordPress oder doch ein Bug von PHP ist. 2.0.5 hatte aber zwei andere kritische Fehler, für die Exploits existieren – ein Update auf 2.0.6 ist daher dringend anzuraten.
    Das Plugin für die Site-Vorschau nennt sich WP-WebSnapr.

  3. Pingback: Wordpress: Cross-Site-Scripting-Lücke » andi.de

Hinterlasse eine Antwort

Pflichtfelder sind mit * markiert.

*