zurück zum Artikel

Blog-System WordPress gefÀhrdet

Christiane RĂŒtten

Registrierten Nutzern ist es unter UmstĂ€nden möglich, ĂŒbers Netz beliebigen Schadcode mit Rechten des Webservers ausfĂŒhren zu lassen. Eine weitere Schwachstelle erlaubt Blog- und Kommentarschreibern, ihre Absender-IP-Adresse zu fĂ€lschen.

Durch eine SicherheitslĂŒcke in dem Blog-System WordPress [1] ist es registrierten Nutzern unter bestimmten UmstĂ€nden möglich, beliebigen Schadcode mit Rechten des Webserver-Prozesses ausfĂŒhren zu lassen. Außerdem können Kommentar- und Blog-Schreiber aufgrund eines Programmierfehlers in der Datei wp-includes/vars.php ihre IP-Adresse fĂ€lschen. Das auf der Sicherheits-Mailingliste Bugtraq veröffentlichte Advisory zu den beiden Schwachstellen hat die Form eines lauffĂ€higen Exploits, mit dem Angreifer auf einem verwundbaren System eine HintertĂŒr installieren können, die beliebige Shell-Befehle ausfĂŒhrt.

Gibt ein registrierter Nutzer in seinem persönlichen Profil beispielsweise im Anzeigenamen ein Newline-Zeichen gefolgt von einigen PHP-Befehlen an, werden diese beim Öffnen einer unter UmstĂ€nden angelegten Cache-Datei durch den Webserver ausgefĂŒhrt. Die Cache-Funktion ist offenbar aufgrund eines Bugs jedoch nur in manchen Installationen aktiv, was sich am Fehlen des Verzeichnisses wp-content/cache erkennen lĂ€sst. Zur Berechnung des verwendeten Dateinamens ist darĂŒber hinaus das Datenbank-Passwort notwendig. Der Exploit fĂŒhrt daher gegebenenfalls einen Wörterbuchangriff durch, um schwache Passwörter zu erraten.

Die beiden Fehler betreffen laut Advisory alle WordPress-Versionen bis einschließlich der aktuellen 2.0.2. Einen Patch gibt es bislang offenbar noch nicht. Bis zu dessen Erscheinen sichert das HinzufĂŒgen der Zeile define('DISABLE_CACHE', true); in der Konfigurationsdatei wp-config.php verwundbare Systeme gegen mögliche Angriffe. Das Verzeichnis wp-content/cache sollte bei deaktivierter Cache-Funktion ebenfalls gelöscht werden. Von gefĂ€lschten IP-Adressen hingegen geht derweil keine unmittelbare Gefahr aus. (cr [2])

URL dieses Artikels:
https://www.heise.de/-127621

Links in diesem Artikel:
[1] http://www.wordpress.org
[2] mailto:cr@ct.de

Copyright © 2006 Heise Medien