Fünf neue Lücken in WordPress?

Fünf Schwachstellen – darunter SQL-Injection- und Cross-Site-Scripting-Lücken – in WordPress hat Benjamin Flesch in seinem Blog veröffentlicht. Vier dieser Lücken setzen allerdings einen Login als Administrator voraus, was meiner Meinung nach das Ausnutzen der Lücken gewaltig einschränkt.

Die von Benjamin gefundene Lücke in der Datei wp-admin/includes/upload.php stellt allerdings ein höheres Risiko dar, da sie sich schon mit den Rechten eines Autors ausnutzen lässt. Im WordPress-Trac gibt es diesbezüglich auch schon einen Eintrag, so dass ein entsprechendes Update seitens WordPress nicht mehr lange auf sich warten lassen dürfte.

Für genau diese Lücke hat Benjamin allerdings auch einen WordPress Wurm veröffentlicht, der die Cross Site Scripting (XSS) – Lücke ausnutzt und dem Benutzer dann helfen soll, diese direkt zu schließen. Markus Schlichting von mynethome.de hat den Wurm getestet und analysiert und rät:

[…] Es ist also dringend davon abzuraten, dem Wurm zu vertrauen. Patcht lieber von Hand, oder kontrolliert zumindest, was der Wurm verändert. []

Dem kann ich nur zustimmen, auch ohne den Wurm auf seine Funktion analysiert oder getestet zu haben. Es ist und bleibt der falsche Weg, Lücken durch deren Ausnutzung zu schließen, auch wenn dieses vom Autor nur gut gemeint war.

Mal ganz davon abgesehen, das „Otto Normal“ nicht einschätzen oder gar feststellen kann, ob die Lücke nun wirklich geschlossen wurde oder nicht, Patches sollten entweder nur vom Hersteller/Autor der Software kommen oder zumindest als solcher ausgeliefert werden. Alles andere halte ich für fatal, denn hat sich erst mal ein „patching by Vulnerability“ eingebürgert, gibt es mehr Lücken als man letztendlich schließen kann.

[via mynethome.de]

4 thoughts on “Fünf neue Lücken in WordPress?

  1. Mariusz: Nein, im gegenteil, im aktuellen WordPress 2.2.1 gibt es diese Lücken, ich habe sie veröffentlicht und ein Wurmartiges gebilde auch, das sich 1a recyclen lässt ;)

    Der wurm ist und bleibt total harmlos, er hatte bisher nur einen Bug den ich heute Behoben hatte: Durch das POST-Encoding sind 3 „+“-Zeichen untergegangen, diese Bugs zeigen sicher aber nur wenn man Blogroll-Links importen will (link-import.php). Anyway, das ist jetzt nichtmehr der Fall und ihr könnt den Wurm immernoch gefahrlos ausführen. Hugh.

    Blöde Schwarzmalerei, gruß Benjamin

  2. Das ganze hat nix mit Schwarzmalerei zu tun, ein Wurm ist nun mal nicht das Mittel, um auf eine Sicherheitslücke aufmerksam zu machen .. höchstens auf den Programmierer selber.

    Mal doof gefragt: wieso stellst du nicht vernünftige Patches zur Verfügung (wenn du unbedingt dem WP-Team vorgreifen möchtest) die man als Admin auch überprüfen und leicht einspielen kann. Ein kleines *.tar.gz mit den betroffenen Files + read.me hätte doch gereicht? Wieso muss es unbeding ein Konstrukt sein, das ansich nicht gerade für seine „Gutartigkeit“ bekannt ist (auch wenn du etwas anderes im Sinn hattest).

Comments are closed.