1. Herzlich willkommen bei WPDE.org, dem grössten und ältesten deutschsprachigen Community-Forum rund um das Thema WordPress. Du musst angemeldet oder registriert sein, um Beiträge verfassen zu können.
    Information ausblenden

Neue PHP Schwachstelle, WP auch betroffen?

Dieses Thema im Forum "Allgemeines" wurde erstellt von tbrumm, 16. August 2005.

  1. tbrumm

    tbrumm Member

    Registriert seit:
    22. Juni 2005
    Beiträge:
    15
    Zustimmungen:
    0
    Gerade bei http://www.heise.de/newsticker/meldung/62827 gelesen, bin mir aber nicht sicher ob WP auch betroffen ist:

    Schwachstellen in PHP-Modulen gefährden zahlreiche Webapplikationen

    Webanwendungen, die auf PHP beruhen und in denen Funktionen für XML-RPC zum Einsatz kommen, laufen Gefahr, geknackt zu werden. Nach Angaben des Sicherheits- und PHP-Spezialisten Stefan Esser sind in PHPXMLRPC und dessen Ableger PEAR XML_RPC Sicherheitslücken enthalten, mit denen Angreifer eigenen PHP-Code einschleusen und im Kontext des Webservers ausführen können. Gemäß der zwei von Esser veröffentlichten Advisorys ist der Fehler in den Funktionen zu finden, die XMLRPC-Anfragen und -Antworten verarbeiten.

    Zentrale Rolle spielt wieder einmal die Funktion eval(), die auch bereits Anfang Juni in den genannten Modulen Löcher aufriss. Esser weist allerdings in seinen Reports darauf hin, dass die Probleme diesmal nicht von fehlerhaftem Escaping von Nutzereingaben herrühren. Stattdessen bietet diesmal die Auswertung der in Dokumenten eingebetteten XML-Tags Angreifern die Gelegenheit, Schadcode auszuführen.

    Zusammen mit den Entwicklern ist man das Problem angegangen und hat eine zusätzliche Prüfung der Tags eingebaut. Darüberhinaus wurden noch sämtliche eval()-Aufrufe eliminiert, um zukünftigen darauf basierenden Angriffen vorzubeugen. Die aktualisierten Versionen von PHPXMLRPC und PEAR XMP_RPC stehen zum Download bereit. Betreiber von Webapplikationen sollten in den nächsten Tagen auf Advisorys der Hersteller achten. Sehr wahrscheinlich sind zahlreiche Content-Management-Systeme und Wikis betroffen. Für das CMS Drupal ist bereits ein Security Advisory erschienen.

    Siehe dazu auch:

    * PEAR XML_RPC Remote PHP Code Injection Vulnerability, Fehleranalyse von Stefan Esser
    * PHPXMLRPC Remote PHP Code Injection Vulnerability, Fehleranalyse von Stefan Esser
     
    #1 tbrumm, 16. August 2005
  2. Monika

    Monika Well-Known Member
    Ehrenmitglied

    Registriert seit:
    4. Juni 2005
    Beiträge:
    14.126
    Zustimmungen:
    2
    #2 Monika, 16. August 2005
  3. tbrumm

    tbrumm Member

    Registriert seit:
    22. Juni 2005
    Beiträge:
    15
    Zustimmungen:
    0
    Hi Monika,

    das Update/Patch bezieht sich auf das Register Globals Problem, hat das was mit dem RPC Problem zu tun???

    Torsten
     
    #3 tbrumm, 16. August 2005
  4. \0

    \0 Well-Known Member

    Registriert seit:
    13. Mai 2005
    Beiträge:
    1.569
    Zustimmungen:
    0
    vom heiseforum wird auf http://forum.hardened-php.net/viewtopic.php?id=9 verwiesen ...dort steht

    wenn ich dies also richtig lese heisst das alle wordpress version vor der 1.5. ich erinnere mich auch an ein wordpress update wo es um xml ging.
     
    #4 \0, 16. August 2005
  5. ben

    ben Well-Known Member

    Registriert seit:
    15. Juni 2005
    Beiträge:
    426
    Zustimmungen:
    0
    ... und jetzt eine ganz blöde Frage,

    ein Kollege von mir hat zeitweilig seinen ganzen Server an ein paar durchgedrehte Koreaner verloren, die wegen dieser Schwachstelle root Zugriff bekommen haben.
    Es war auch die Version Wp 1.2.

    Nachdem er den Server wieder unter Kontrolle hatte, hat er natürlich sofort die neue Version von Wp aufgespielt. Aber da er nach dieser Bescherung keine Lust mehr auf Scherereien hatte, hat er kurzerhand die ganze xmlrpc Datei gelöscht. Der Blog läuft ganz gut weiter ohne diese Datei.

    Was macht die xmlrpc Datei? Was ermöglicht sie, und was kann derdiedas Blog nicht mehr, wenn ich sie lösche?

    .
     
    #5 ben, 18. August 2005
  6. adapter

    adapter New Member

    Registriert seit:
    18. August 2005
    Beiträge:
    2
    Zustimmungen:
    0
    Gute Frage. Ich denke mal dass dann all der Quatsch nicht mehr funktioniert, der mit Pings und Trackbacks zu tun hat. Irgendwie sendet Wordpress ja an andere Bloggs Nachricht, wenn man diese verlinkt - und umgekehrt können so plötzlich Postings in anderen Bloggs bei Dir als Kommentar erscheinen. Noch nie erlebt? Nicht schlimm. Kannst Du aber sogar in Deinem eigenen WP-Blog bewirken: verlinke in einem Posting einfach ein anderes Posting, dann müßte in dem anderen Posting bei den Kommentaren ein Ausschnitt des neuen Postings als neuer Kommentar auftauchen. Hängt vielleicht aber auch noch von den Kommentar-Optionen ab.

    Ausserdem sendet Wordpress über XMLRPC Benachrichtigungen an gewisse Seiten, wenn ein neuer Eintrag gepostet wurde (siehe Admin -> Options -> Writing unten: UpdateService). Ob das alles war, weiss ich nicht, aber das ist alles auf jeden Fall gut verzichtbar.

    Habe heute auch im WP-Sourcecode gewühlt. WP 1.5 benutzt nicht die PHPXMLRPC, sondern die Inutio XML-RPC Library. Ob die auf PHPXMLRPC aufsetzt, konnte ich nicht mit Sicherheit in Erfahrung bringen, denke aber mal nein.
     
    #6 adapter, 18. August 2005
(Du musst angemeldet oder registriert sein, um Beiträge verfassen zu können. )
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Akzeptieren Weitere Informationen...
    Information ausblenden
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Akzeptieren Weitere Informationen...
    Information ausblenden