1. Herzlich willkommen bei WPDE.org, dem grössten und ältesten deutschsprachigen Community-Forum rund um das Thema WordPress. Du musst angemeldet oder registriert sein, um Beiträge verfassen zu können.
    Information ausblenden

Sicherheitslücke für Wordpress 2.06 - SQL Injection

Dieses Thema im Forum "Allgemeines" wurde erstellt von Lim_Dul, 11. Januar 2007.

  1. Lim_Dul

    Lim_Dul Well-Known Member

    Registriert seit:
    1. August 2006
    Beiträge:
    154
    Zustimmungen:
    0
    Das StudiVZ Blog (WP 2.06) hat es erwischt, siehe beispielsweise: http://www.basicthinking.de/blog/2007/01/11/studivz-blog-gekapert/

    Der Exploit setzt laut Beschreibung register_globals = on voraus und geht wieder über Trackbacks, wie der für 2.05.

    Ich persönlich habe erstmal die wp-trackbacks.php verschoben.

    Ich will den Exploit jetzt hier nicht direkt verlinken.
     
  2. mastermind

    mastermind Well-Known Member

    Registriert seit:
    13. Dezember 2005
    Beiträge:
    2.076
    Zustimmungen:
    0
  3. Lim_Dul

    Lim_Dul Well-Known Member

    Registriert seit:
    1. August 2006
    Beiträge:
    154
    Zustimmungen:
    0
    Stand - als es noch online war im Header drin.
     
  4. Lim_Dul

    Lim_Dul Well-Known Member

    Registriert seit:
    1. August 2006
    Beiträge:
    154
    Zustimmungen:
    0
    Nachtrag:
    Ich habe den Exploit mit der Version 2.06 getestet.

    Tuts bei register_globals=on und entsprechender PHP Version.

    Nachtrag: register_globals=off verhindert es.
     
    #4 Lim_Dul, 11. Januar 2007
    Zuletzt bearbeitet: 11. Januar 2007
  5. mastermind

    mastermind Well-Known Member

    Registriert seit:
    13. Dezember 2005
    Beiträge:
    2.076
    Zustimmungen:
    0
    Hm, das ist nicht gut.

    Schick bitte mal eine Mail an die wp-hackers-Mailingliste, dort wird der Exploit auch schon diskutiert; aber bislang konnte es keiner mit 2.0.6 reproduzieren.
     
  6. SuMu

    SuMu Well-Known Member

    Registriert seit:
    5. Januar 2006
    Beiträge:
    6.301
    Zustimmungen:
    84
    das packe ich dann in meine htacess? Wenn ja wie genau?
     
  7. Morris

    Morris Well-Known Member

    Registriert seit:
    27. Mai 2006
    Beiträge:
    1.560
    Zustimmungen:
    0
    register_globals wird in der php.ini gesetzt.

    Grüße
    Mo
     
  8. SuMu

    SuMu Well-Known Member

    Registriert seit:
    5. Januar 2006
    Beiträge:
    6.301
    Zustimmungen:
    84
    Danke für die Info, register_globals steht bei mir auf off :p
     
  9. mastermind

    mastermind Well-Known Member

    Registriert seit:
    13. Dezember 2005
    Beiträge:
    2.076
    Zustimmungen:
    0
    Ich war eigentlich gerade dabei, den Exploit so umzustricken, dass man ihn auch übers Web starten kann (zumindest die ersten paar Stellen des Passwort-Hashs).

    Aber es scheint, dass wir doch recht zügig ein neues Update bekommen: 2.0.7 steht vor der Tür und soll primär diese Sicherheitslücke schließen.
    http://comox.textdrive.com/pipermail/wp-testers/2007-January/003644.html
     
    #9 mastermind, 11. Januar 2007
    Zuletzt bearbeitet: 11. Januar 2007
  10. SuMu

    SuMu Well-Known Member

    Registriert seit:
    5. Januar 2006
    Beiträge:
    6.301
    Zustimmungen:
    84
    updates sind ja schön, wenn dadurch neue Funktionen kommen, aber immer nur Sicherheitslöcher stopfen, finde ich nicht so prickelnd8)...
    und wordpress bekommt leider viele updates:roll:
     
  11. mastermind

    mastermind Well-Known Member

    Registriert seit:
    13. Dezember 2005
    Beiträge:
    2.076
    Zustimmungen:
    0
    Findet keiner prickelnd. Aber sei doch froh, dass es so schnell geht.
    Kann auch anders laufen.

    WordPress ist eben mittlerweile eine sehr komplexe Anwendung und es hat mittlerweile einen Verbreitungsgrad erreicht, bei dem es auch von Sicherheitsdienstleistern und Hackern (im positiven wie negativen Sinn) viel Aufmerksamkeit bekommt. Wenn ich mir anschaue, wie das bei Joomla und phpbb war und ist, denke ich, dass wir WordPress-Anwender noch gut bedient sind.
     
  12. Morris

    Morris Well-Known Member

    Registriert seit:
    27. Mai 2006
    Beiträge:
    1.560
    Zustimmungen:
    0
    Wünschenswert wäre eine (halb)automatisches Updatesystem.
    Ich muß mitlerweile einige dutzend WP-Installationen up-to-date halten, dass bedeutet für jeden Patch immer mind. nen Tag Handarbeit :(

    Grüße
    Mo
     
  13. punctilio

    punctilio Well-Known Member

    Registriert seit:
    23. Dezember 2006
    Beiträge:
    79
    Zustimmungen:
    0
    Viele Updates?
    Also viele Updates gabs damals bei phpBB, ein Grund warum ich dann Software gewechselt habe.
     
  14. ben

    ben Well-Known Member

    Registriert seit:
    15. Juni 2005
    Beiträge:
    426
    Zustimmungen:
    0
    zwar Offtopic, aber:
    hat jemand einen Plan, wie das bei Drupal ist mit den Updates? Ich plane gerade eine Seite mit Drupal. Soll ja recht vernünftig geschrieben sein....
     
  15. Morris

    Morris Well-Known Member

    Registriert seit:
    27. Mai 2006
    Beiträge:
    1.560
    Zustimmungen:
    0
    -> http://drupal.org/

    Grüße
    Mo
     
  16. mastermind

    mastermind Well-Known Member

    Registriert seit:
    13. Dezember 2005
    Beiträge:
    2.076
    Zustimmungen:
    0
    Immerhin gibt es bei Drupal ein Security-Portal, und es werden offizielle Patches neben den Upgrades angeboten.
     
  17. jottlieb

    jottlieb Well-Known Member
    Ehrenmitglied

    Registriert seit:
    20. August 2005
    Beiträge:
    17.381
    Zustimmungen:
    1
    Öhm...ich hab's vorsichtshalber noch in der .htaccess stehen:
    Code:
    Entschuldige, aber du musst dich registrieren oder anmelden um den Inhalt sehen zu können!
    Jetzt sag nicht, das hat keine Wirkung :?
     
  18. SuMu

    SuMu Well-Known Member

    Registriert seit:
    5. Januar 2006
    Beiträge:
    6.301
    Zustimmungen:
    84
    das dachte ich auch gehört/gelesen zu haben:confused:
     
  19. jottlieb

    jottlieb Well-Known Member
    Ehrenmitglied

    Registriert seit:
    20. August 2005
    Beiträge:
    17.381
    Zustimmungen:
    1
    Wobei bei den meisten Hostern register_globals sowieso off sein sollte. Und das ist auch gut so, da es eine Angriffsfläche für fast jede Art von Script darstellt.
     
  20. eldelle

    eldelle Member

    Registriert seit:
    13. November 2006
    Beiträge:
    10
    Zustimmungen:
    0
    also kurz und knapp: mit der globals off in der php ini bin ich fein raus und update dann trotzdem mal wenn ne neue version raus is?
     
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden