Neuer Wordpress-Exploit betrifft auch Version 2.0.6
Voraussetzung für einen erfolgreichen Einbruch ist jedoch eine unsichere und veraltete Server-Installation. Ein direkter Zusammenhang mit dem jüngsten StudiVZ-Hack ist denkbar, aber unwahrscheinlich.
- Christiane Rütten
Für das Blog-System Wordpress ist ein Exploit aufgetaucht, dem unter gewissen Umständen auch die aktuelle Version 2.0.6 zum Opfer fallen kann. Mit dem neuen Exploit können Angreifer durch einen Fehler in PHP übers Netz den Hash des Admin-Passwortes auslesen und nach leichten Modifikationen sogar beliebige Änderungen an der Wordpress-Datenbank vornehmen. Den beigefügten Kommentaren ist zu entnehmen, dass er nur bei Servern mit einer veralteten PHP-Version funktioniert und darüber hinaus die unsichere Konfiguration register_globals = on voraussetzt.
Zunächst aufgekommene Spekulationen, die den Exploit mit dem Defacement des StudiVZ-Blogs in Zusammenhang brachten, konnten sich allerdings nicht bestätigen. Dessen Betreiber hatten erst kürzlich auf die aktuelle Version 2.0.6 aktualisiert. PHP-Sicherheitsexperte Stefan Esser äußerte gegenüber heise Security die Vermutung, dass die Angreifer nicht mit Hilfe des neuen Exploits in den StudiVZ-Server eingedrungen sind. Für viel wahrscheinlicher hält er es, dass sie sich bereits früher über eine Schwachstelle in Wordpress 2.0.5 Zugang verschafften, das dort längere Zeit betrieben worden sei, und nur einen günstigen Zeitpunkt für das Defacement abgewartet hätten. Die schon länger verfügbaren Exploits für die Vorgängerversionen setzen weder bestimmte PHP-Versionen noch register_globals = on voraus.
Laut Esser liegt der Fehler, den der neue Exploit ausnutzt, nicht bei Wordpress selbst, da es Sicherheitsabfragen gegen die eingesetzte Einbruchstechnik enthält. Laufe ein Server allerdings mit einer PHP-Version, die noch den Bug in zend_hash_del_key_or_index aufweist, lasse sich der implementierte Schutz aushebeln, so Esser. Betroffen von dem Fehler sind PHP-Versionen vor 4.4.3 beziehungsweise 5.1.4, sofern sie nicht gefixt wurden. In aktuellen Linux-Distributionen ist die Lücke nicht enthalten. Auch in der unter Debian-Stable eingesetzten Version 4.3.10 ist die Schwachstelle bereits seit August behoben.
Siehe dazu auch:
- StudiVZ: "Gegendarstellung" per Defacement, Meldung von heise Security
- Sicherheitslücken in WordPress, Meldung von heise Security
(cr)
