WordPress 2.8.6 verhindert Upload von Schadcode
Durch eine Lücke in der Uploadroutine für Anhänge von Blogposts lassen sich PHP-Dateien etwa als Bild tarnen. Angreifer können dies nutzen, um eigenen Code auszuführen. Betroffen sind aber nicht alle Serverkonfigurationen.
- Daniel Bachfeld
Die Wordpress-Entwickler haben das Sicherheits-Update 2.8.6 veröffentlicht, das zwei Schwachstellen beseitigt. Anwender sollten dies so bald wie möglich installieren, sofern nicht vertrauenswürdige Autoren Inhalte einstellen und Bilder hochladen dürfen. Zumindest einer der Fehler ermöglicht es Angreifern sonst, eigenen PHP-Code auf dem Server auszuführen.
Diese Lücke beruht auf einem Fehler bei der Normalisierung der Dateinamen in Anhängen von Blogposts. So ist es möglich, eine PHP-Datei als Bild zu tarnen (beispielsweise als vuln.php.jpg) und hochzuladen, ohne den WordPress-Schutz zum Blockieren gefährlicher Dateien anzutriggern. Anschließend genügt der Aufruf der Datei im Browser (http://verwundbares-wp/wp-content/uploads/2009/11/test-vuln.php.jpg), um den PHP-Code im Kontext des Webservers auszuführen.
Allerdings funktioniert das offenbar nicht mit jeder Serverkonfiguration. Insbesondere der Apache-Webserver soll in der Standardkonfiguration den Code beim Aufruf der Datei nicht ausführen können. Stattdessen erhält man nur ein kaputtes Bild im Browser angezeigt.
Erst wenn in .htaccess oder der globalen Konfiguration "Options +MultiViews" gesetzt ist, soll der Apache die Datei als ausführbar akzeptieren. Hinweisen auf der WordPress-Hacker-Mailingliste zufolge soll dies aber bei Webservern standardmäßig der Fall sein, auf denen Panel und WebHost Manager (WHM) zum Einsatz kommen.
Siehe dazu auch:
- WordPress 2.8.6 Security Release, Bericht von WordPress
- WordPress <= 2.8.5 Unrestricted File Upload Arbitrary PHP Code Execution, Bericht von Dawid Golunski
(dab)
