1. Herzlich willkommen bei WPDE.org, dem grössten und ältesten deutschsprachigen Community-Forum rund um das Thema WordPress. Du musst angemeldet oder registriert sein, um Beiträge verfassen zu können.
    Information ausblenden

Neue Sicherheitslücke!

Dieses Thema im Forum "Allgemeines" wurde erstellt von olafson, 10. August 2005.

  1. olafson

    olafson Well-Known Member

    Registriert seit:
    16. März 2005
    Beiträge:
    54
    Zustimmungen:
    0
  2. \0

    \0 Well-Known Member

    Registriert seit:
    13. Mai 2005
    Beiträge:
    1.569
    Zustimmungen:
    0
    es handelt sich um ein problem mit cookies. jemand kann so die komplette kontrolle über den webspace von einem Blog bekommen wenn er dieses Script ausführt.

    Also an alle befolgt was in dem Link steht (von olafson)

    und stellt euch darauf ein bald wieder wordpress zu updaten :D
     
  3. ratterobert

    ratterobert Well-Known Member
    Ehrenmitglied

    Registriert seit:
    1. Januar 2005
    Beiträge:
    1.254
    Zustimmungen:
    0
    danke für den hinweis, ich hab das mal eben gemacht.

    was für auswirkungen könnte die lücke den schlimmstenfalls haben?
     
  4. malo.conny

    malo.conny Well-Known Member

    Registriert seit:
    27. Juli 2005
    Beiträge:
    390
    Zustimmungen:
    0
    Zitat: FH
    Mit diesem Exploit kann man jedes beliebige PHP Kommando ausführen, ausserdem jedes Shellkommando mit den Rechten des Webservers, sofern system() zugelassen ist, was jedoch üblicherweise der Fall ist.

    ... d.h. man kann alles machen, was du auch kannst.
     
  5. ratterobert

    ratterobert Well-Known Member
    Ehrenmitglied

    Registriert seit:
    1. Januar 2005
    Beiträge:
    1.254
    Zustimmungen:
    0
    oha

    naja, jetzt ist´s ja gefixt
     
  6. olafson

    olafson Well-Known Member

    Registriert seit:
    16. März 2005
    Beiträge:
    54
    Zustimmungen:
    0
    nur von offizieller Seite hört man wenig.

    Schließlich kann man mit dieser Sicherheitslücke
    -den kompletten Webspace löschen
    -IRC Bots installieren
    -Trojaner per Email verschicken
    -etc

    ..... :shock:
     
  7. thowi

    thowi Well-Known Member

    Registriert seit:
    4. August 2005
    Beiträge:
    69
    Zustimmungen:
    0
    danke für den link. habs auch eben mal gefixt.
     
  8. \0

    \0 Well-Known Member

    Registriert seit:
    13. Mai 2005
    Beiträge:
    1.569
    Zustimmungen:
    0
    Ein Update auf die aktuelle Version 1.5.2 schließt ebenso die Lücke. Also bitte alle Updaten (Praxistest für Olafs Versions Plugin :D)
     
  9. olafson

    olafson Well-Known Member

    Registriert seit:
    16. März 2005
    Beiträge:
    54
    Zustimmungen:
    0
    Update hat einwandfrei funktioniert.
    Keine Änderung an der Datenbank, nur im
    /wp-admin
    /wp-includes
    und das Root Verzeichnis
    alle Dateien überschreiben.
     
  10. AndreasB

    AndreasB Well-Known Member

    Registriert seit:
    26. März 2005
    Beiträge:
    172
    Zustimmungen:
    0
    Ich will nur noch mal nachfragen, ob ich das richtig verstanden und gemacht habe.

    Laut
    Code:
    Entschuldige, aber du musst dich registrieren oder anmelden um den Inhalt sehen zu können!
    ist mein register_globals auf on gestellt.
    Ich erweitere also die index.php in der root von
    Code:
    Entschuldige, aber du musst dich registrieren oder anmelden um den Inhalt sehen zu können!
    auf
    Code:
    Entschuldige, aber du musst dich registrieren oder anmelden um den Inhalt sehen zu können!
    Und jetzt kann nichts mehr passieren, oder?
     
  11. TigerDE2

    TigerDE2 Well-Known Member

    Registriert seit:
    9. September 2004
    Beiträge:
    1.140
    Zustimmungen:
    0
    nein, auf
    Code:
    Entschuldige, aber du musst dich registrieren oder anmelden um den Inhalt sehen zu können!
     
  12. olafson

    olafson Well-Known Member

    Registriert seit:
    16. März 2005
    Beiträge:
    54
    Zustimmungen:
    0
    so ist es.

    wann wird auf der Startseite von wordpress-deutschland.org die neue Version von Wordpress erwähnt ?

    WP 1.5.1.3 -> WP 1.5.2 !
     
  13. TigerDE2

    TigerDE2 Well-Known Member

    Registriert seit:
    9. September 2004
    Beiträge:
    1.140
    Zustimmungen:
    0
    Olaf, unser Admin, ist zur Zeit in Urlaub und ich hab gestern abend Format C: gemacht und den Zettel mit den Passwörtern hab' ich verlegt... ;)

    Es wird also noch ein paar Tage dauern.
    Aber verlinken tut es ja sowieso auf die richtige Seite, das sollte also nicht allzu schlimm sein... :)

    Christian
     
  14. Sulla

    Sulla Active Member

    Registriert seit:
    14. Mai 2005
    Beiträge:
    28
    Zustimmungen:
    0
    Auf Heise.de kam heute wieder eine Meldung die wieder mit der xml-rpc funktion eval() zu tun hat, ist diese Lücke überhaupt für wordpress nach dem update auf 1.5.2 noch von bedeutung, da sie ja eine andere ist, als die, die anfang juni bekannt wurde?

    http://www.heise.de/security/news/meldung/62827
     
  15. maxter

    maxter Member

    Registriert seit:
    16. August 2005
    Beiträge:
    13
    Zustimmungen:
    0
    hat sich erledigt :oops:

    viele grüße

    maxter
     
  16. jottlieb

    jottlieb Well-Known Member
    Ehrenmitglied

    Registriert seit:
    20. August 2005
    Beiträge:
    17.381
    Zustimmungen:
    1
    Ein weiterer Workaround wäre, in der .htaccess
    Code:
    Entschuldige, aber du musst dich registrieren oder anmelden um den Inhalt sehen zu können!
    einzutragen.
    Allerdings keine Gewähr, dass dies bei jedem Hoster möglich ist.
     
  17. \0

    \0 Well-Known Member

    Registriert seit:
    13. Mai 2005
    Beiträge:
    1.569
    Zustimmungen:
    0
    statt dem workaround kann man auch einfach updaten :D
     
  18. jottlieb

    jottlieb Well-Known Member
    Ehrenmitglied

    Registriert seit:
    20. August 2005
    Beiträge:
    17.381
    Zustimmungen:
    1
    Ack.
    Aber kann ja trotzdem nicht schaden, das register globals auszuschalten. Wer weiß, wo und in welcher Software der nächste Bug lauert.
     
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden