andi.de » sicherheit

WordPress-Update erschienen

Andi — Thu, 05 Apr 2007 11:27:28 +0000

Für das Blog-System WordPress sind Sicherheitsupdates für den 2.0- sowie den 2.1-Versionszweig erschienen. Die Versionen 2.0.10 und 2.1.3 beheben einige kleinere Fehler im XML-RPC-System und Cross-Site-Scripting-Anfälligkeiten.
Ein Update sollte daher von allen Anwendern zeitnah durchgeführt werden.
Für Nutzer der deutschen Version steht wieder ein Upgradepaket mit allen auszutauschenden Dateien bereit.

WordPress: Cross-Site-Scripting-Lücke

Andi — Wed, 28 Feb 2007 13:38:08 +0000

Im 2.1-Versionspfad von WordPress sind erneut Sicherheitslöcher entdeckt worden, welche für Cross-Site-Scripting-Attacken genutzt werden können.
Eingaben an den Parameter ‘post’ in der Datei /wp-admin/post.php (falls “action” auf “delete” oder “deletecomment” gesetzt ist) werden nicht korrekt gefiltert, bevor sie an einen Benutzer zurückgegeben werden. Dies kann ausgenutzt werden, um im Kontext einer betroffenen Seite beliebigen HTML- und Scriptcode in der Browsersitzung eines Benutzers auszuführen und hierbei z.B. Cookie-Daten an fremde Server zu senden.
Für eine erfolgreiche Ausführung muss der betroffende Nutzer als Administrator angemeldet sein.
Ein weiterer Fehler betrifft die Suchfunktion. Sobald ein einzelnes Komma ohne zusätzliche Zeichen an die Suchmethode übermittelt wird, verabschiedet sich diese mit einem SQL-Fehler:

WordPress database error: [You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ') AND ((post_status = 'publish' OR post_status = 'private')) ORDER BY post_dat' at line 1] SELECT SQL_CALC_FOUND_ROWS wp_posts.* FROM wp_posts WHERE 1=1 AND () AND ((post_status = 'publish' OR post_status = 'private')) ORDER BY post_date DESC LIMIT 0, 10

Ein weiterer SQL-Inject durch dieses Problem ist bisher nicht bekannt.
Beide Fehler wurden im SVN-Trunk behoben, ein offizieller Bugfix oder Patch ist bislang nicht erhältlich. Bis zum Erscheinen eines solchen empfielt sich Vorsicht oder z.B. eine zusätzliche Absicherung durch mod_security o.ä.

Die 20 häufigsten Passwörter

Andi — Tue, 16 Jan 2007 16:59:58 +0000

Durch Analyse der öffentlich geposteten Daten einer Phising-Seite, in der MySpace-Nutzer zur Preisgabe ihrer Account-Angaben verleitet wurden, haben Sicherheitsspezialisten die am häufigsten von den (US-)Nutzern „abgephischten“ Passwörter veröffentlicht (dies dürfte einem realistischen Querschnitt duch die real benutzten Daten entsprechen).
Die am häufigsten benutzten Passwörter sind (in Klammern die Anzahl):

password1 (106)
abc123 (73)
swimmer1 (43)
iloveyou1 (41)
monkey1 (40)
fuckyou (37)
123456 (33)
myspace1 (32)
fuckyou1 (32)
i (32)
password (27)
babygirl1 (25)
iloveyou2 (24)
football1 (24)
danny12031986 (23)
blink182 (23)
princess1 (22)
freeshit4me (22)
16188s (22)
123abc (22)

Beim Blick in die Details kam zu Tage, dass nur 37.621 der 57.406 Datensätze einmalige, d.h. nicht von verschiedenen Accounts, verwendete Passwörter benutzten; trotzdem waren immerhin nahezu 13.000 Kennworte mindestens acht Zeichen lang, fast genauso viele sogar neunstellig.
Trotzdem zeigen auch diese Angaben einmal mehr, wie wichtig es ist, sich individuelle Passwörter für seine Zugänge zu überlegen und sich nicht auf einfache Kombinationen zu verlassen.