, ,

Wieder mal üble Sicherheitslücken in WordPress

Eine ganze Armada neuer Sicherheitslücken sollte allen WordPress-Usern die Nackenhaare aufstellen. Hier gibt’s die genauen Details für die insgesamt sieben Exploits von XSS-Problemen bis hin zu SQL-Injects. Derzeit ist kein Patch in Sicht, Frank Bueltge hat die detaillierte Update-Anleitung.

Die paar Code-Changes sind schnell erledigt – für bequeme gibt’s allerdings auch eine neue und hochgradig ungewohnte Art, den Patch zu fixen: ein „freundlicher Wurm“ nutzt exakt die angesprochenen Exploits, um die notwendigen Updates durchzuführen – er stammt vom Mybeni Blog:

It uses the Security vulnerabilities in the latest WordPress Version (2.2.1) to get into your blog and help you patching the Security flaws! Everything based on Cross-Site Scripting and Cross-Site Request Forgery.

Im WP Bugtracking System sind die Lücken bereits erfasst, schwach finde ich allerdings, dass am offiziellen WordPress Blog jeglicher Hinweis auf den neuen Hazard fehlt – ich mein, wie lange kann es denn dauern, ein Patch-Paket mit den gerade mal 4 zu ändernden Dateien zusammenzustellen? Da wünscht man sich definitiv ein zuverlässigeres Online-Update-Service…

Näheres zum Wurm

Auch wenn ich die Idee originell finde, kann ich mit dem freundlichen Wurm nicht so richtig warm werden – bei einer One-Man Show können leicht Fehler passieren, nicht unbedingt aus Bösartigkeit, sondern ganz einfach aus Versehen. Die Neugier obsiegte dann natürlich dennoch, und ich hab das Teil auf eines meiner unkritischen Testblogs losgelassen; und siehe da, der Updateprozess schien reibungslos zu klappen. Komischerweise aber auch beim zweiten Mal – ich hätte eigentlich erwartet, dass das Würmchen bereits gepatchte Blogs erkennt. Entweder das, oder der Hack hat einfach nicht hingehauen, aber in dem Fall vermisse ich die Fehlermeldung. (Können eigentlich php-Dateien am Server geändert werden ohne passende Schreibrechte???)

3 comments
ritchie
ritchie

ditto - bin ganz bei dir. vor allem stört mich, dass wer wurm nicht darauf hinweist, dass man die entsprechenden chmods vergeben muss. ich hab's nochmal probiert und halt jeweils bei den einzelnen Schritten die betreffenden Files auf 666 gesetzt; aber ganz ehrlich gesagt ist mir das händische copy-paste in dem Fall auch lieber! (bzw. noch lieber wär mir ein schneller patch-fix bei wordpress.org)

Christian Schmidt
Christian Schmidt

Ja leider aber ich denk auch nicht das jeder von sich aus den Dateien schreibrechte geben will. Ich würde es daher auch empfehlen per Hand zu kopieren.

Martin
Martin

ich hab's auch ausprobiert und die Datein benötigen natürlich schreibrecht um geändert zu werden. Dann klappts auch mit dem Wurmupdate. Leider fehlt dieser Hinweis so ziemlich überall.