Wordpress-Release bei Server-Hack manipuliert
Angreifer haben einen Server des Wordpress-Projekts gehackt und die Version 2.1.1 der Blogsoftware durch eine mit Hintertüren gespickte Fassung ersetzt. Inzwischen liegt ein bereinigtes Update vor.
Anwender, die seit Ende Februar das Wordpress-Paket 2.1.1 heruntergeladen und installiert haben, sollten ihre Installation zügig auf Version 2.1.2 aktualisieren. Wie die Wordpress-Entwickler auf ihrer Homepage mitteilen, haben Angreifer einen Server des Projekts gehackt und das Download-Paket 2.1.1 durch eine Fassung ersetzt, die mit einigen Hintertüren zum Einschleusen von PHP-Code ausgestattet ist.
Über welche Schwachstelle die Angreifer in den Server eingedrungen sind, erläutern die Entwickler jedoch nicht. Die Analyse, für die das Team die Wordpress-Server vom Netz genommen hat, soll allerdings ergeben haben, dass lediglich das Wordpress-2.1.1-Paket manipuliert wurde. Weder im Quellcode-Verwaltungssystem SVN noch an anderen Stellen hätten Manipulationen stattgefunden.
Die Wordpress-Entwickler haben die Version 2.1.1 inzwischen als unsicher markiert und raten allen Wordpress-Nutzern, auf die aktuelle Version 2.1.2 umzusteigen. Mit dem Update haben sie nach eigenen Angaben auch einige nicht näher erläuterte Fehler behoben. Provider, die ihren Nutzern Wordpress als Dienst anbieten und die Software nicht aktualisieren können, sollten den Zugriff auf die Dateien theme.php und feed.php unterbinden sowie Anfragen mit den Zeichenketten ix= oder iz= ausfiltern.
Siehe dazu auch:
- Wordpress 2.1.1 dangerous, upgrade to 2.1.2, Sicherheitsmeldung der Wordpress-Entwickler
- Download der aktuellen Wordpress-Version
(dmk)
