Sicherheitslücken in WordPress

Für das Content Mangement System WordPress sind zwei Exploits aufgetaucht, die es ermöglichen, PHP-Code auf dem Webserver auszuführen beziehungsweise ein Administrator-Login zu erbeuten. Das Open-Source-Programm (GPL) WordPress ist in PHP geschrieben und verwendet eine MYSQL-Datenbank. Die Entwickler legen großen Wert auf die Einhaltung von Standards und haben ihr Programm vor allem für Weblogs konzipiert.

Die erste, von Stefan Esser, der kürzlich resigniert das PHP-Security-Team verließ, beim Hardened-PHP Project beschriebene Sicherheitslücke nutzt die mbstring-Erweiterung von PHP, mit der es Wordpress ermöglicht, bei so genannten Trackbacks zwischen verschiedenen Zeichensätzen zu konvertieren. WordPress prüft zwar alle eingehenden Zeichenketten bei Trackbacks, die von anderen Seiten auf Blog-Einträge verweisen, ob sie verbotene SQL-Kommandos enthalten, allerdings erledigt die Software dies, bevor die mbstring-Konvertierung läuft. Ein Beispiel-Exploit schafft es so, zuerst die Warnmeldungen an den Andministrator abzuschalten, um dann die Hash-Werte der Passwörter auszulesen.

Der zweite Angriff gehört in die Rubrik Cross Site Scripting (XSS). Der eingebaute CSRF-Schutz (Cross Site Request Forgery) von WordPress hat einen Fehler, sodass ein Angreifer einem eingelogten Benutzer oder Administrator URLs so unterschieben kann, dass die darin enthaltenen Befehle mit seinen Rechten ausgeführt werden.

Beide Sicherheitslücken betreffen alle WordPress-Versionen bis 2.0.5. Die aktuelle Version 2.0.6 soll nicht betroffen sein.

Siehe dazu:

• WordPress CSRF Protection XSS Vulnerability, Adivisory von Stefan Esser beim Hardened PHP Project
• WordPress Trackback Charset Decoding SQL Injection Vulnerability, Adivisory von Stefan Esser beim Hardened PHP Project

(bbe)