Details zur Wordpress-Lücke veröffentlicht
Angreifer können sich mit Hilfe manipulierter Anmelde-Cookies unter Umständen Zugang zu administrativen Blog-Konten verschaffen und je nach Blog-Einrichtung beliebigen PHP-Code vom Webserver ausführen lassen.
Inzwischen sind Details zu einer der beiden Sicherheitslücken bekannt geworden, die Ende vergangener Woche zur Veröffentlichung von Wordpress-Version 2.5.1 führten. Laut einem Posting auf der Sicherheits-Mailing-Liste Full Disclosure können sich Angreifer mit Hilfe manipulierter Cookies Zugriff auf beliebige Nutzerkonten verschaffen, darunter auch den Admin-Account, mit dem es unter Umständen auch möglich ist, beliebigen PHP-Code vom Webserver ausführen zu lassen. Die Schwachstelle betrifft nur den Wordpress-Zweig 2.5 sowie den Entwicklerzweig, in die die Programmierer eine neue Cookie-Anmeldeprozedur eingeführt haben.
Um die Lücke auszunutzen, müssen sich Angreifer mit einem manipulierten Nutzernamen am Blog registrieren können, der mit dem zu unterwandernden Namen beginnen muss. Die Schwachstelle besteht darin, dass eine zum Schutz gegen Cookie-Manipulationen berechnete MD5-Prüfsumme beliebig lange Nutzernamen und Ablaufdaten im Cookie zulässt. Mit einem Kollisionsangriff gegen den unsicheren MD5-Hash-Algorithmus kann der Angreifer sein gültiges Anmelde-Cookie auf den kürzeren Namen umschreiben. Angesichts der Spam-Wellen unter veralteten Wordpress-Blogs sollten Admins verwundbare Installationen möglichst bald aktualisieren und auf verdächtige Nutzernamen inspizieren.
In diesem Zusammenhang weisen die Wordpress-Entwickler auch auf den mit Version 2.5 eingeführten Konfigurationsparameter SECRET_KEY in der Datei wp-config.php hin, der mit einem einmaligen Zufallswert die neue Cookie-Verwaltung sicherer machen soll. In der Voreinstellung ist er jedoch mit der Zeichenfolge 'put your unique phrase here' vorbelegt; bei älteren Konfigurationsdateien fehlt er völlig. Admins sollten für den Parameter unbedingt eine Zufallszeichenkette eintragen. Die Wordpress-Programmierer haben zu diesem Zweck eine Webseite eingerichtet, die eine passende Konfigurationszeile generiert.
Siehe dazu auch:
- Wordpress 2.5 Cookie Integrity Protection Vulnerability, Details zur Schwachstelle auf Full Disclosure
- Schleichende Spam-Epidemie unter veralteten Wordpress-Blogs, Meldung auf heise Security
(cr)