WordPress Deutschland Forum - Einzelnen Beitrag anzeigen

hakre · 18.02.2009, 11:30

Ja, dass sieht ganz so aus. Ich bin noch nicht ganz durch (dort sind noch weitere Forum Posts verlinkt) aber es sieht ganz so aus, dass (auch in WP 2.7) Dateien von Remote aus auf den Server hochgeladen und ausgeführt werden können.

Das Ziel scheint das Plugin-Verzeichnis zu sein. Empfehlenswert dürfte sein, nach der (sauberen) Installation der eigenen Plugins, das Verzeichnis auf Schreibgeschützt zu setzen. Den PHP Errorlog beobachten, ob hier versucht wird Dateien anzulegen.

Bei WordPress genrell empfehlenswert ist der Betrieb mit Suhosin. Das ist eine PHP Erweiterung die bei einigen Problemen, die aus veraltetem PHP Code resultieren, helfen kann (nicht muss!). Es ist generell empfehlenswert, bei PHP Anwendungen mit alter Codebasis (u.a. auch bei WordPress der Fall) diese nur unter Suhosin zu betreiben. Daran lässt sich meiner Meinung auch ein Hoster messen: Ob er Suhosin mit anbietet (besser) oder nicht (nicht besser).

Anmerkung:

Ein Problem scheint zu sein, dass Wordpress nicht alle aktivierten Plugins anzeigt. Der Angreifer hat sich hier zu Nutze gemacht, dass Plugins in Unterverzeichnisse von bereits bestehenden Plugins kopiert werden können und Wordpress diese _nicht_ als aktiv Anzeigt. Der Admin ist also Blind. Da sollte der WordPress Kern nachgebessert werden, so dass wenigstens sämtliche aktive Plugins gelistet werden.

Anmerkung 2:

Die Lücke gibts, sie ist bekannt:
#6871 (Plugins without headers don't show in the plugins page, keeping some exploits hidden) ? WordPress Trac (seit 10 Monaten publik)
#5564 (Non Plugin Files Cab Be Easily Included In Current Plugins using database Manipulation) ? WordPress Trac (seit 14 Monaten publik)

Die Frage ist nur, wie ein sinnvoller Schutz davor in WordPress aussehen kann. Natürlich wäre es schön, wenn hier auf verschiedene Ebenen was laufen würde (zB. bevor überhaupt eine Datei durch einen Angreifer mit WordPress auf den Server hochgeladen werden wird) allerdings sollte zumindest für den Admin die möglichkeit bestehen, die aktuelle Konfiguration im Backend einsehen zu können.

18.02.2009, 11:30	#2 (permalink)
hakre PostRank: 5 Registriert seit: 25.06.2007 Beiträge: 348	Ja, dass sieht ganz so aus. Ich bin noch nicht ganz durch (dort sind noch weitere Forum Posts verlinkt) aber es sieht ganz so aus, dass (auch in WP 2.7) Dateien von Remote aus auf den Server hochgeladen und ausgeführt werden können. Das Ziel scheint das Plugin-Verzeichnis zu sein. Empfehlenswert dürfte sein, nach der (sauberen) Installation der eigenen Plugins, das Verzeichnis auf Schreibgeschützt zu setzen. Den PHP Errorlog beobachten, ob hier versucht wird Dateien anzulegen. Bei WordPress genrell empfehlenswert ist der Betrieb mit Suhosin. Das ist eine PHP Erweiterung die bei einigen Problemen, die aus veraltetem PHP Code resultieren, helfen kann (nicht muss!). Es ist generell empfehlenswert, bei PHP Anwendungen mit alter Codebasis (u.a. auch bei WordPress der Fall) diese nur unter Suhosin zu betreiben. Daran lässt sich meiner Meinung auch ein Hoster messen: Ob er Suhosin mit anbietet (besser) oder nicht (nicht besser). Anmerkung: Ein Problem scheint zu sein, dass Wordpress nicht alle aktivierten Plugins anzeigt. Der Angreifer hat sich hier zu Nutze gemacht, dass Plugins in Unterverzeichnisse von bereits bestehenden Plugins kopiert werden können und Wordpress diese _nicht_ als aktiv Anzeigt. Der Admin ist also Blind. Da sollte der WordPress Kern nachgebessert werden, so dass wenigstens sämtliche aktive Plugins gelistet werden. Anmerkung 2: Die Lücke gibts, sie ist bekannt: #6871 (Plugins without headers don't show in the plugins page, keeping some exploits hidden) ? WordPress Trac (seit 10 Monaten publik) #5564 (Non Plugin Files Cab Be Easily Included In Current Plugins using database Manipulation) ? WordPress Trac (seit 14 Monaten publik) Die Frage ist nur, wie ein sinnvoller Schutz davor in WordPress aussehen kann. Natürlich wäre es schön, wenn hier auf verschiedene Ebenen was laufen würde (zB. bevor überhaupt eine Datei durch einen Angreifer mit WordPress auf den Server hochgeladen werden wird) allerdings sollte zumindest für den Admin die möglichkeit bestehen, die aktuelle Konfiguration im Backend einsehen zu können. __________________ Hier gibts Anworten auf deine Wordpress Fragen. Geändert von hakre (18.02.2009 um 11:53 Uhr).