Eine ganze Armada neuer Sicherheitslücken sollte allen WordPress-Usern die Nackenhaare aufstellen. Hier gibt’s die genauen Details für die insgesamt sieben Exploits von XSS-Problemen bis hin zu SQL-Injects. Derzeit ist kein Patch in Sicht, Frank Bueltge hat die detaillierte Update-Anleitung.

Die paar Code-Changes sind schnell erledigt – für bequeme gibt’s allerdings auch eine neue und hochgradig ungewohnte Art, den Patch zu fixen: ein “freundlicher Wurm” nutzt exakt die angesprochenen Exploits, um die notwendigen Updates durchzuführen – er stammt vom Mybeni Blog:

It uses the Security vulnerabilities in the latest WordPress Version (2.2.1) to get into your blog and help you patching the Security flaws! Everything based on Cross-Site Scripting and Cross-Site Request Forgery.

Im WP Bugtracking System sind die Lücken bereits erfasst, schwach finde ich allerdings, dass am offiziellen WordPress Blog jeglicher Hinweis auf den neuen Hazard fehlt – ich mein, wie lange kann es denn dauern, ein Patch-Paket mit den gerade mal 4 zu ändernden Dateien zusammenzustellen? Da wünscht man sich definitiv ein zuverlässigeres Online-Update-Service…

Näheres zum Wurm

Auch wenn ich die Idee originell finde, kann ich mit dem freundlichen Wurm nicht so richtig warm werden – bei einer One-Man Show können leicht Fehler passieren, nicht unbedingt aus Bösartigkeit, sondern ganz einfach aus Versehen. Die Neugier obsiegte dann natürlich dennoch, und ich hab das Teil auf eines meiner unkritischen Testblogs losgelassen; und siehe da, der Updateprozess schien reibungslos zu klappen. Komischerweise aber auch beim zweiten Mal – ich hätte eigentlich erwartet, dass das Würmchen bereits gepatchte Blogs erkennt. Entweder das, oder der Hack hat einfach nicht hingehauen, aber in dem Fall vermisse ich die Fehlermeldung. (Können eigentlich php-Dateien am Server geändert werden ohne passende Schreibrechte???)

Keine ähnlichen Beiträge.