anlässlich des gehackten Blogs von StudiVZ kursieren nun erneute Diskussionen im Netz, die auf eine weitere, große Lücke hinweisen
Im WordPress-Forum steht jedoch:
Ich habe es selbst gerade nochmal mit der neusten Version 2.0.6 probiert; weder mit register_globals=On noch mit register_globals=Off funktioniert der Exploit.
Es darf also davon ausgegangen werden, dass 2.0.6 sicher ist und dass vorhergehende Versionen verwundbar sind, zumindest wenn register_globals=On ist.
Zum Hintergrund: Wie funktioniert der Exploit?
In der PHP-Datei wp-trackback.php wird die externe Dateneingabe nicht korrekt gefiltert, so das eine SQL-Injektion möglich ist. Was heißt das?Wenn ein Zugriff auf die Datenbank stattfindet, so werden alle Eingaben durch Anführungszeichen abgegrenzt. Enthält die Anfrage ein Anführungszeichen zuviel oder zuwenig, so wird der weitere Text als SQL-Befehl interpretiert. Bei der SQL-Injektion wird das gezielt ausgenutzt, indem Anführungszeichen von außen eingegeben werden. Wenn diese vor dem Datenbankzugriff von der jeweiligen Anwendung nicht ausgefiltert oder maskiert werden, so kann man von außen SQL-Befehle in die Datenbank einfügen.
Der der derzeit kursierende Exploit ist relativ harmlos: Er liest nur die Benutzertabelle aus und verrät das gehashte Admin-Passwort. Damit beweist der Autor, dass (und wie) die Lücke ausnutzbar ist, ohne direkten Schaden anzurichten. Doch natürlich lässt sich der Exploit mit ein bissel Knoffhoff und wenig Aufwand so umstricken, dass er in die Datenbank schreibt, nämlich etwa einen neuen Benutzer mit Adminrechten.
Ergo: Updaten, wer es noch nicht getan hat!!!
Na toll, das mit dem Auslesen des verschlüsselten Passwords macht mich ja noch glücklicher. Caramba. Also abwarten und Tee trinken.
Neue Stellenangebote
|
Growth Marketing Manager:in – Social Media GOhiring GmbH in Homeoffice |
|
|
Content Creator Social Media (m/w/d) CSU-Bezirksverband Augsburg in Augsburg |
|
|
Social Media Manager (Fokus: Community Management Supervision) (w/m/d) – befristete Elternzeitvertretung für 18 Monate Yello Strom GmbH in Köln |
Schau mal: http://forum.wordpress-deutschland.org/showthread.php?t=16051
Da schreibt der selbe Autor, der auch den oben zitierten Absatz geschrieben hat, folgendes.
„Hm, dann würde der Exploit womöglich doch auf 2.0.6 zu passen.“
Neuesten Infos: http://blog.punctilio.at/allgemein/2007-01/wordpress-207
Hier noch der dazugehörige Exploit zum testen.
Nich allzu sicher dieses WordPress 😀
http://www.milw0rm.com/exploits/3109
[…] Das habe ich dann auch festgestellt. Wahrscheinlich durch Ausnutzung eines SQL Injection Exploits war es möglich, einem fremden WordPress Weblog ungefragt einen Artikel unterzujubeln. War also doch ein wichtiges WordPress Upgrade, dieses WP 2.06 Update. Dank Batman von der Uni Lüneburg sind wir jetzt ein bisschen schlauer. Ich muss bei Gelegenheit mal die IPs checken, nicht undenkbar, dass Batman nicht nur der Hinweisgeber in diesem Fall gewesen ist … […]
[…] Robert Basic vom Basic Thinking hat sich die Mühe gemacht, mal nachzuforschen was genau dieser Exploit eigentlich macht und ausnutzt. […]
FYI: Es handelt sich bei der ganzen Sache nicht um eine Lücke in WordPress, sondern um eine lägst geschlossene Schwachstelle in PHP. Der milw0rm-Exploit ist lediglich auf WordPress zugeschnitten, weil man bestimmte Variablennamen kennen und die SQL-Injektion für die Anwendung maßschneidern muss.
Ich habe grade eben dieses Exploit mal laufen lassen.
Auf meinem lokalen Webserver funktioniert es (alle WP-Versionen ab 2.0)
Auf dem Webspace (all-inkl) mit WP 2.0.6 funktioniert es nicht! Und da ist es egal ob register_globals on oder off ist.
Für alle diejenigen die trotzdem auf Nummer ganz sicher gehen wollen, die können in der .htaccess register_globals ausschalten (zumindest bei Webspace von all-inkl, vgl. deren FAQ)