Sicherheitslücke bei MovableType

Die populäre Weblog-Software MovableType des kalifornischen Herstellers Six Apart hat eine Sicherheitslücke, die von Spammern zum massenhaften Versand von E-Mail ausgenutzt werden kann. Das Sicherheitsloch entsteht durch eine fehlerhafte Implementation des Scripts mt-send-entry.cgi, das es ermöglicht, Weblog-Beiträge per E-Mail zu versenden. Das Skript überprüft nicht ausreichend, an wen welche Inhalte versandt werden. Unbefugte konnten zusätzliche Header in den Benachrichtigungsmails platzieren.

Im Support-Forum von MovableType berichten Anwender von massiven Versuchen durch Spammer, diese Lücke auszunutzen. Inzwischen gibt es eine fehlerbereinigte Version des Weblog-Systems auf der Seite des Herstellers herunterzuladen. Nach seinen Angaben ist es ausreichend, das betroffene Skript auszutauschen. MovableType-Nutzer, die die Mailfunktion nicht aktiviert haben, können die Lücke schließen, indem sie das Skript löschen. (Torsten Kleinz) / (anw)