Fünf Schwachstellen – darunter SQL-Injection- und Cross-Site-Scripting-Lücken – in WordPress hat Benjamin Flesch in seinem Blog veröffentlicht. Vier dieser Lücken setzen allerdings einen Login als Administrator voraus, was meiner Meinung nach das Ausnutzen der Lücken gewaltig einschränkt.
Die von Benjamin gefundene Lücke in der Datei wp-admin/includes/upload.php stellt allerdings ein höheres Risiko dar, da sie sich schon mit den Rechten eines Autors ausnutzen lässt. Im WordPress-Trac gibt es diesbezüglich auch schon einen Eintrag, so dass ein entsprechendes Update seitens WordPress nicht mehr lange auf sich warten lassen dürfte.
Für genau diese Lücke hat Benjamin allerdings auch einen WordPress Wurm veröffentlicht, der die Cross Site Scripting (XSS) – Lücke ausnutzt und dem Benutzer dann helfen soll, diese direkt zu schließen. Markus Schlichting von mynethome.de hat den Wurm getestet und analysiert und rät:
[...] Es ist also dringend davon abzuraten, dem Wurm zu vertrauen. Patcht lieber von Hand, oder kontrolliert zumindest, was der Wurm verändert. [...]
Dem kann ich nur zustimmen, auch ohne den Wurm auf seine Funktion analysiert oder getestet zu haben. Es ist und bleibt der falsche Weg, Lücken durch deren Ausnutzung zu schließen, auch wenn dieses vom Autor nur gut gemeint war.
Mal ganz davon abgesehen, das “Otto Normal” nicht einschätzen oder gar feststellen kann, ob die Lücke nun wirklich geschlossen wurde oder nicht, Patches sollten entweder nur vom Hersteller/Autor der Software kommen oder zumindest als solcher ausgeliefert werden. Alles andere halte ich für fatal, denn hat sich erst mal ein “patching by Vulnerability” eingebürgert, gibt es mehr Lücken als man letztendlich schließen kann.
[via mynethome.de]
