957
zufriedene Leser
RSS jetzt abonnieren
38032
Followers
auf Twitter folgen
Wieder mal üble Sicherheitslücken in WordPress
Eine ganze Armada neuer Sicherheitslücken sollte allen WordPress–Usern die Nackenhaare aufstellen. Hier gibt’s die genauen Details für die insgesamt sieben Exploits von XSS–Problemen bis hin zu SQL-Injects. Derzeit ist kein Patch in Sicht, Frank Bueltge hat die detaillierte Update–Anleitung.
Die paar Code-Changes sind schnell erledigt — für bequeme gibt’s allerdings auch eine neue und hochgradig ungewohnte Art, den Patch zu fixen: ein “freundlicher Wurm” nutzt exakt die angesprochenen Exploits, um die notwendigen Updates durchzuführen — er stammt vom Mybeni Blog:
It uses the Security vulnerabilities in the latest WordPress Version (2.2.1) to get into your blog and help you patching the Security flaws! Everything based on Cross-Site Scripting and Cross-Site Request Forgery.
Im WP Bugtracking System sind die Lücken bereits erfasst, schwach finde ich allerdings, dass am offiziellen WordPress Blog jeglicher Hinweis auf den neuen Hazard fehlt — ich mein, wie lange kann es denn dauern, ein Patch-Paket mit den gerade mal 4 zu ändernden Dateien zusammenzustellen? Da wünscht man sich definitiv ein zuverlässigeres Online-Update-Service…
Näheres zum Wurm
Auch wenn ich die Idee originell finde, kann ich mit dem freundlichen Wurm nicht so richtig warm werden — bei einer One-Man Show können leicht Fehler passieren, nicht unbedingt aus Bösartigkeit, sondern ganz einfach aus Versehen. Die Neugier obsiegte dann natürlich dennoch, und ich hab das Teil auf eines meiner unkritischen Testblogs losgelassen; und siehe da, der Updateprozess schien reibungslos zu klappen. Komischerweise aber auch beim zweiten Mal — ich hätte eigentlich erwartet, dass das Würmchen bereits gepatchte Blogs erkennt. Entweder das, oder der Hack hat einfach nicht hingehauen, aber in dem Fall vermisse ich die Fehlermeldung. (Können eigentlich php-Dateien am Server geändert werden ohne passende Schreibrechte???)
Keine ähnlichen Beiträge.
Bisher haben meine Lieblingsleser 3 Kommentare zu "Wieder mal üble Sicherheitslücken in WordPress" geschrieben.
Wie ist Ihre Meinung?
Kommentar schreiben
0 Track- und Pingbacks zu diesem Beitrag
- Ping me, please! Einfach /trackback/ an die URL anhängen.
via RSS Feed
danke
Web 2.0
Fotos
Business
Community
Wien
blogistan
Usability
Party
WordPress
Wochenrückblick
Kultur
technorati
Konferenz
Interview
Barcamp
Algorithmus
Internet
Gewinnspiel
Panoptikum
Werbung
Plattform
software
datenschmutz
Gesellschaft
gratis
Vortrag
Kunst
Spam
Webmaster
Podcast
Design
Kolumne
Aufmerksamkeit
Social Media
mp3
ORF
Backlinks
Links
Entwicklung
SEO
Kommentar
Blog
youtube
Verlosung
video
Fernsehen
Performance
Update
Hip Hop
Piraten
persönlich
Experiment
Deutschland
Facebook
Traffic
Twitter
the gap
Marketing
Aggregator
Sicherheit
Plugin
Statistik
Österreich
Interface
Google
ich hab’s auch ausprobiert und die Datein benötigen natürlich schreibrecht um geändert zu werden.
Dann klappts auch mit dem Wurmupdate. Leider fehlt dieser Hinweis so ziemlich überall.
direkt antworten
Ja leider aber ich denk auch nicht das jeder von sich aus den Dateien schreibrechte geben will. Ich würde es daher auch empfehlen per Hand zu kopieren.
direkt antworten
ditto — bin ganz bei dir. vor allem stört mich, dass wer wurm nicht darauf hinweist, dass man die entsprechenden chmods vergeben muss. ich hab’s nochmal probiert und halt jeweils bei den einzelnen Schritten die betreffenden Files auf 666 gesetzt; aber ganz ehrlich gesagt ist mir das händische copy-paste in dem Fall auch lieber! (bzw. noch lieber wär mir ein schneller patch-fix bei wordpress.org)
direkt antworten