Sichheitslücke!!! wordpress <= 2.0.5 sql injection exploit

[spartakus5]

hallo alleiseits,

habt ihr schon davon gewusst ?? seit kurzem gibt es eine sicherheitslücke:
hier ist der exploit http://www.milw0rm.com/related.php?program=Wordpress
sql injection exploit bei der version 2.0.6

ich glaub gestern wurde ich opfer von diesem angriff.

als ich gestern abend in mein adminbereich eingelogt habe, da sah ich dass da 600 gäste online sind. da wusste ich dass da was nicht stimmt. meine seite wurde dann für paar stunden unerreichbar. später gings dann wieder.
wie hat der hacker das gemacht ??
bitte hilfe. der hacker wird es heute nacht wieder versuchen.

[SuMu]

dann brauchen wir jetzt noch einen Php-Cräck, der uns das erklärt

[mastermind]

Zitat:

Zitat von spartakus5

als ich gestern abend in mein adminbereich eingelogt habe, da sah ich dass da 600 gäste online sind. da wusste ich dass da was nicht stimmt. meine seite wurde dann für paar stunden unerreichbar. später gings dann wieder.

Das wird derzeit auch auf der Mailingliste diskutiert; der momentane Tenor ist aber, dass eben nicht die neuste Version betroffen ist. Zumindest konnten es einige Leute noch nicht reproduzieren.

Hattest Du denn schon auf WP 2.0.6 aktualisiert?

Was auf jeden Fall helfen sollte, ist die register_globals zu deaktivieren (ggf. an den Hoster wenden), denn laut Kommentar im Exploit muss diese Option aktiviert sein, damit es funktioniert.

Man kann kann die register_globals für jeden vHost einzeln deaktivieren, indem man in die vHost-Konfiguration die folgende Zeile einfügt (Apache httpd):

Code:

php_admin_value register_globals Off

Danach muss natürlich der Apache neu gestartet/geladen werden.

[mastermind]

Ich habe es selbst gerade nochmal mit der neusten Version 2.0.6 probiert; weder mit register_globals=On noch mit register_globals=Off funktioniert der Exploit.

Es darf also davon ausgegangen werden, dass 2.0.6 sicher ist und dass vorhergehende Versionen verwundbar sind, zumindest wenn register_globals=On ist.

Zum Hintergrund: Wie funktioniert der Exploit?
In der PHP-Datei wp-trackback.php wird die externe Dateneingabe nicht korrekt gefiltert, so das eine SQL-Injektion möglich ist. Was heißt das?

Wenn ein Zugriff auf die Datenbank stattfindet, so werden alle Eingaben durch Anführungszeichen abgegrenzt. Enthält die Anfrage ein Anführungszeichen zuviel oder zuwenig, so wird der weitere Text als SQL-Befehl interpretiert. Bei der SQL-Injektion wird das gezielt ausgenutzt, indem Anführungszeichen von außen eingegeben werden. Wenn diese vor dem Datenbankzugriff von der jeweiligen Anwendung nicht ausgefiltert oder maskiert werden, so kann man von außen SQL-Befehle in die Datenbank einfügen.

Der der derzeit kursierende Exploit ist relativ harmlos: Er liest nur die Benutzertabelle aus und verrät das gehashte Admin-Passwort. Damit beweist der Autor, dass (und wie) die Lücke ausnutzbar ist, ohne direkten Schaden anzurichten. Doch natürlich lässt sich der Exploit mit ein bissel Knoffhoff und wenig Aufwand so umstricken, dass er in die Datenbank schreibt, nämlich etwa einen neuen Benutzer mit Adminrechten.

Ergo: Updaten, wer es noch nicht getan hat!!!

[SuMu]

danke für die Erklärung

[jottlieb]

Sehe ich das richtig, dass sich der Bug auf WP 2.0.5 bzw. älter bezieht? Dann ändere ich mal den Titel...

[mastermind]

Im Exploit steht, dass WordPress <= 2.0.6 betroffen sind. Allerdings konnte es noch niemand mit 2.0.6 reproduzieren.

Aber es wäre in der Tat nett, wenn Du den Titel etwas entschärfen könntest.

[spartakus5]

hey ich hab schon die version 2.0.6 installiert.
vorhin hat mand das wieder auf meiner seite gemach, dies mal zeigte der useronline dass 700 leute online sind. wie macht er das denn ??
wie kann ich das selber auf meiner seite probieren ??

er hat keine admin passwörter geklaut. nur die datenbank für ne stunde unerreichbar gemacht.

registerglobal kann ich nicht deaktivieren weil ich ein freespace nutze.

bitte helfen. der hacker lässt mich nciht in ruhe.

[mastermind]

Könntest du mir bitte einen Link zu Deiner Seite geben (ggf. per PN)?

Und: Wie hast Du das Update durchgeführt? (Bitte detailiert beschreiben.)

[spartakus5]

ich hab gar nicht upgedatet, sondern einfach die 2.0.6 version installiert.