Blog-System WordPress gefährdet
Registrierten Nutzern ist es unter Umständen möglich, übers Netz beliebigen Schadcode mit Rechten des Webservers ausführen zu lassen. Eine weitere Schwachstelle erlaubt Blog- und Kommentarschreibern, ihre Absender-IP-Adresse zu fälschen.
Durch eine Sicherheitslücke in dem Blog-System WordPress ist es registrierten Nutzern unter bestimmten Umständen möglich, beliebigen Schadcode mit Rechten des Webserver-Prozesses ausführen zu lassen. Außerdem können Kommentar- und Blog-Schreiber aufgrund eines Programmierfehlers in der Datei wp-includes/vars.php ihre IP-Adresse fälschen. Das auf der Sicherheits-Mailingliste Bugtraq veröffentlichte Advisory zu den beiden Schwachstellen hat die Form eines lauffähigen Exploits, mit dem Angreifer auf einem verwundbaren System eine Hintertür installieren können, die beliebige Shell-Befehle ausführt.
Gibt ein registrierter Nutzer in seinem persönlichen Profil beispielsweise im Anzeigenamen ein Newline-Zeichen gefolgt von einigen PHP-Befehlen an, werden diese beim Öffnen einer unter Umständen angelegten Cache-Datei durch den Webserver ausgeführt. Die Cache-Funktion ist offenbar aufgrund eines Bugs jedoch nur in manchen Installationen aktiv, was sich am Fehlen des Verzeichnisses wp-content/cache erkennen lässt. Zur Berechnung des verwendeten Dateinamens ist darüber hinaus das Datenbank-Passwort notwendig. Der Exploit führt daher gegebenenfalls einen Wörterbuchangriff durch, um schwache Passwörter zu erraten.
Die beiden Fehler betreffen laut Advisory alle WordPress-Versionen bis einschließlich der aktuellen 2.0.2. Einen Patch gibt es bislang offenbar noch nicht. Bis zu dessen Erscheinen sichert das Hinzufügen der Zeile define('DISABLE_CACHE', true); in der Konfigurationsdatei wp-config.php verwundbare Systeme gegen mögliche Angriffe. Das Verzeichnis wp-content/cache sollte bei deaktivierter Cache-Funktion ebenfalls gelöscht werden. Von gefälschten IP-Adressen hingegen geht derweil keine unmittelbare Gefahr aus. (cr)
