andi.de » studivz http://www.andi.de Mon, 29 Dec 2008 21:01:58 +0000 en hourly 1 http://wordpress.org/?v=3.2.1 Sicherheitslücke in WordPress 2.0.6 http://www.andi.de/2007/01/11/sicherheitsluecke-in-wordpress-206/ http://www.andi.de/2007/01/11/sicherheitsluecke-in-wordpress-206/#comments Thu, 11 Jan 2007 13:17:04 +0000 Andi http://www.andi.de/2007/01/11/sicherheitsluecke-in-wordpress-206/ Schon kurz nach Erscheinen der letzten Version 2.0.6 von WordPress, die u.a. auch Sicherheitslücken schloss, taucht nun erneut eine kritische Lücke auf, die auch bei Version 2.0.6 noch funktioniert. Neben Nennung der für die Ausführung nötigen Voraussetzungen wurde auch sofort ein passender Exploit mitgeliefert.
Es wird eine Lücke in der Datei wp-trackback.php ausgenützt, um mittels SQL-Injection Passwörter auszulesen.
Als Voraussetzung für den Exploit ist (einmal mehr) die PHP-Option register_globals=on von Nöten (eine der schlimmsten Sicherheitsproblemstellen in PHP), ausserdem PHP-Version zwischen 4 und 4.4.3, bzw. kleiner 5.1.4.
Es empfiehlt sich, bis ein Patch die Lücke schließt, entweder dafür zu sorgen, dass register_globals nicht aktiviert ist (leider bei vielen shared hosting – Paketen immer noch aktiv), oder temporär die Datei wp-trackback.php umzubenennen (oder zu löschen) — als „Nebenwirkung“ werden dann temporär keine Trackbacks mehr empfangen.
Es gibt ferner Spekulationen, dass ebengenannter Exploit auch dazu benutzt worden sein könnte, um heute Nacht das Firmen-Weblog der Studentencommunity StudiVZ mit einem ‘Defacement‘ zu versehen und dort eine Gegendarstellung des CCC zu veröffentlichen (inzwischen ist das Blog komplett offline). Solange hierzu allerdings keine offizielle Verlautbarung des Betreibers vorliegt kann dies aber nur vermutet werden.

Update:
In einem Artikel bei heise online stellt der PHP-Experte Stefan Esser einige Details klarer dar:

Laut Esser liegt der Fehler, den der neue Exploit ausnutzt, nicht bei WordPress selbst, da es Sicherheitsabfragen gegen die eingesetzte Einbruchstechnik enthält. Laufe ein Server allerdings mit einer PHP-Version, die den Bug zend_hash_del_key_or_index aufweist, lasse sich der implementierte Schutz aushebeln, so Esser. (…) In aktuellen Linux-Distributionen ist die Lücke nicht enthalten. Auch in der unter Debian-Stable eingesetzten [PHP-]Version 4.3.10 ist die Schwachstelle bereits seit August behoben.

]]> http://www.andi.de/2007/01/11/sicherheitsluecke-in-wordpress-206/feed/ 4