Sicherheitslücke bei WordPress
Bei WordPress scheint nun eine Sicherheitslücke aufgetaucht zu sein, wie www.heise.de berichtet:
Durch eine Sicherheitslücke in dem Blog-System WordPress ist es registrierten Nutzern unter bestimmten Umständen möglich, beliebigen Schadcode mit Rechten des Webserver-Prozesses ausführen zu lassen.
[...]
Gibt ein registrierter Nutzer in seinem persönlichen Profil beispielsweise im Anzeigenamen ein Newline-Zeichen gefolgt von einigen PHP-Befehlen an, werden diese beim Öffnen einer unter Umständen angelegten Cache-Datei durch den Webserver ausgeführt.
Robert ergänzt unter www.basicthinking.de/blog:
Wer also unter Options -> General den Haken bei “Membership: Anyone can register” gesetzt hat, einfach deaktivieren und sowieso auf das Wp-Update warten.
Vor diesem Hintergrund sollte man also die registrierten Benutzer – z.B. Kommentatoren, die einen Status als “registrierter Leser” haben – einem kritischen Blick unterziehen bzw. sie eventuell ganz löschen.
Weiterhin bin ich zumindest auf ein “Kommentare abonnieren”-Plugin gestoßen, das ebenfalls Anlass zur kritischen Prüfung sein könnte. Blogs, die das Plugin “Filosofo Enroll Comments” benutzen, könnten durch die Sicherheitslücke betroffen sein, da das Plugin auf die Benutzerverwaltung von WordPress setzt (siehe auch http://www.ilfilosofo.com/blog/enroll-comments/, englisch):
Is this plugin a security risk because it allows anybody to login to WordPress?
By default, no. When first activated, the plugin sets the “New User Default Role” (under Options > General in the admin control panel) to “subscriber,” which allows new users to log in and not much else. If an administrator chooses to change the “New User Default Role” to something higher, then new enrollees will have that level of permission.
Letztendlich bleibt aber zu hoffen, dass es zeitnah eine Einschätzung der WordPress-Entwickler gibt, ob es sich um ein ernstzunehmendes Problem handelt, sowie natürlich auch in absehbarer Zeit ein Patch bzw. Update…
Schlagwörter: Blog-Technik, Plugin, Sicherheit, Wordpress
hirnrinde.de (
Artikel
Am 30. Mai 2006 um 08:57 Uhr
Programmänderung…
Kurz und bündig muss ich gestehen, dass ich vorerst die öffentliche Registrierung in unserem Blog ausgeschaltet habe. Warum das ganze? Es gibt einen Security Bug, der die Ausführung von anscheinend beliebigem Code in WordPress ermög…
Am 2. Juni 2006 um 08:11 Uhr
WordPress 2.0.3 erschienen…
Gestern wurde die Version 2.0.3 der Blog-Software WordPress (www.wordpress.org) veröffentlicht. Dabei wurden vor allem kleinere Aktualisierungen vorgenommen und wohl auch die vor kurzem entdeckte Sicherheitslücke geschlossen, wie unter wordpr…
Am 27. Juli 2006 um 09:42 Uhr
WordPress: Neue oder alte Sicherheitslücke?…
Der Schöpfer des Anti-Spam-Plugins “Spam Karma 2″ (unknowngenius.com[1]), Dr. Dave, hat gestern vor einer generellen Sicherheitslücke in WordPress gewarnt, die mit der Benutzerverwaltung zusammenhängt (siehe auch unknown…
Am 29. September 2009 um 04:26 Uhr
[...] ganze Zeit, ob es sich dabei möglicherweise um die bereits für WordPress 2.0.2 gemeldete Sicherheitslücke handelt, die eigentlich mit WordPress 2.0.3 behoben werden sollte. Falls die Sicherheitslücke [...]