Ich kann jeden WordPressanwender nur *eindringlichst* empfehlen, auf die neueste Version (en|de) zu aktualisieren.
Im Zuge der Nachforschungen zu den momentanen WP-Exploits bin ich über dieses Ticket auf trac.wordpress.org gestolpert.
Darin wird erläutert, wie einfach ein Angreifer auf älteren WordPress-Installationen an eine User/Password Kombination herankommt:
(...) With read-only access to the WordPress database, it is possible to
generate a valid login cookie for any account, without resorting to a
brute force attack. This allows a limited SQL injection vulnerability
to be escalated into administrator access. (...)
Das krasse dabei ist: Er muss dazu nicht das Passwort kennen, es ist auch egal wie komplex das Passwort gewählt wurde; er braucht lediglich einen Read-only Zugriff auf die Datenbank oder auf ein über das Web erreichbares Backup-File der Datenbank. Das ist zwar kein eigentliches WordPress-Sicherheits-Leck, aber dadurch, wie WP die Cookie-Authentifizierung handhabt, und dadurch, dass viele WordPress-Datenbank-Backup Plugins die SQL-Dumps in ein übers Web erreichbares Verzeichnis speichern (zb wp-content/backup-xyz), ergibt sich hier ein Angriffspunkt, der offenbar gerade aktivst ausgenutzt wird.
Der Authentifizierungs-Mechanismus wurde nach diesem Ticket geändert und obwohl als Milestone die Version 2.5 angegeben war, wurde die Änderung vor ca. drei Monaten in den Trunk comitted und ist somit (hoffentlich) in der aktuellen Version vorhanden:
(...) Things are fixed in Trunk(2.4) and then backported to 2.3
Major changes such as this would also go into the next stable release rather than a maintainence release i believe. Allthough extra checks might be added to a 2.3 maintainence release to at least remove some of the vulnerability (ie. patch it, just not completely replace the authentication functions) is need be.
4 Reaktionen zu “WordPress Hackereien, revisited 2”
Bravo! Vielen Dank für Deine unermüdliche Recherche!
Was mich dennoch wundert, ist, dass augenscheinlich auch Blogs mit der aktuellen WP-Version betroffen sind (siehe hier).
Denkbar wären mehrere Szenarien; ein Blog, dessen User/PW schon vorher gecrackt wurden (wer ändert nach einem Update seine User/PWs?), bestimmte verwundbare Dateien die beim Update nicht ersetzt wurden, oder ein Verwundbares Plugin...?
Ok, stimmt, wäre möglich …
Danke Dir für die ganzen Infos - da werde ich mich mal am Wochenende wohl mal einlesen müssen :-(
Kommentare sind geschlossen.