1. Herzlich willkommen bei WPDE.org, dem grössten und ältesten deutschsprachigen Community-Forum rund um das Thema WordPress. Du musst angemeldet oder registriert sein, um Beiträge verfassen zu können.
    Information ausblenden

Exploit für <= WP 2.0.2

Dieses Thema im Forum "Allgemeines" wurde erstellt von daniel, 27. Mai 2006.

  1. daniel

    daniel Member

    Registriert seit:
    6. Januar 2006
    Beiträge:
    20
    Zustimmungen:
    0
    Ein Exploit für Wordpress 2.0.2:
    ------

    \0: direkt link entfernt.
     
    #1 daniel, 27. Mai 2006
    Zuletzt von einem Moderator bearbeitet: 28. Mai 2006
  2. \0

    \0 Well-Known Member

    Registriert seit:
    13. Mai 2005
    Beiträge:
    1.569
    Zustimmungen:
    0
    ein direktes verlinken zu einem exploit ist unnötig. um dieses thema aber einfach zu beenden,obwohl ich den fehler selbst nicht provozieren kann, legt man eine .htaccess datei in den cache ordner (wp-content/cache):

    entweder mit folgenden inhalt:
    oder durch ein kleines script. das läd man in den grundordner des wordpress und ruft es direkt per browser auf.

    die .htaccess sollte den normalen ablauf von wordpress nicht stören, da der cache ordner keines zugriffs von aussen benötigt.
     
    #2 \0, 28. Mai 2006
    Zuletzt bearbeitet: 31. Mai 2006
  3. daniel

    daniel Member

    Registriert seit:
    6. Januar 2006
    Beiträge:
    20
    Zustimmungen:
    0
    was ist an dem verlinken auf einen exploit "unnötig"? dient doch nur der allgemeinen information und aufklärung damit jeder weis, worum es da geht und wie das abläuft.
     
    #3 daniel, 28. Mai 2006
    Zuletzt bearbeitet: 28. Mai 2006
  4. \0

    \0 Well-Known Member

    Registriert seit:
    13. Mai 2005
    Beiträge:
    1.569
    Zustimmungen:
    0
    nur das der normale wordpress user damit nichts anfangen kann und auch nichts anzufangen braucht. Es sei denn er will seinen eigenen Blog hacken. deshalb habe ich auch die htaccess lösung gepostet. Falls jemand gesteigertes interesse hat den exploit selbst zu testen, und keine exploitseiten kennt, kann er sich bei mir melden und ich gebe ihm den code. nur öffentlich muss sowas nicht stehen.
     
  5. Metty

    Metty Well-Known Member

    Registriert seit:
    25. Januar 2006
    Beiträge:
    118
    Zustimmungen:
    0
    Nunja, darüber kann man sich streiten ob es sinnvoll ist Exploits "öffentlich" stehen zu lassen oder nicht.
    Da möchte ich mich auch garnicht einmischen.
    Was aber gemacht werden müsste, wäre eine "Umschreibung" des Exploits, da ich zb nun jetzt nicht weiss ob es sich um das "alte" Exploit von letzter Woche handelt oder schon wieder um ein "neues".
     
  6. daniel

    daniel Member

    Registriert seit:
    6. Januar 2006
    Beiträge:
    20
    Zustimmungen:
    0
    wenn schon nicht auf den exploit verlinkt, dann zumindest zu einem artikel darüber:


    edit:Monika

    daniel,
    hier sind 99.9% der Leute, die php von html und css nicht unterscheiden können,

    wenn Du helfen magst, dann erkläre in DAUtauglichen Worten was den der exploit machen täte.

    Oder magst Du unbedingt jeden Scriptkiddy zum potentiellen Hacker machen?

    erkläre wie man dies ändern kann,

    aber stelle doch solche Scripts nicht zur Verfügung!

    und nutze vorallem nicht dieses Forum als Werbeplattform für Scriptkiddies.


     
    #6 daniel, 31. Mai 2006
    Zuletzt von einem Moderator bearbeitet: 31. Mai 2006
  7. Max.

    Max. Well-Known Member

    Registriert seit:
    3. März 2006
    Beiträge:
    303
    Zustimmungen:
    0
    sch***e und jetzt?

    Gibts schon ein Update dafür?

    Kann nicht einfach ne .htaccess in blog Ordner erstellen weil sonst das ModRewriten vom Forum kaputt geht.
     
  8. \0

    \0 Well-Known Member

    Registriert seit:
    13. Mai 2005
    Beiträge:
    1.569
    Zustimmungen:
    0
    ich habe meinen beitrag nochmal geändert. hoffe man kann es nun besser verstehen.
     
  9. Monika

    Monika Well-Known Member
    Ehrenmitglied

    Registriert seit:
    4. Juni 2005
    Beiträge:
    14.126
    Zustimmungen:
    1
    Max lies nochmal
    diese htaccess gehört in den CACHE Ordner, da ist noch gar keine drin

    lg
     
  10. daniel

    daniel Member

    Registriert seit:
    6. Januar 2006
    Beiträge:
    20
    Zustimmungen:
    0
    Also dann für die DAU's unter den Leser die nicht Google kennen oder andere Suchmaschinen und Suchfunktionen:

    Ein Exploit ist ein Script, welches Fehler in einem Programm/System (wie Wordpress z.B.) ausnutzt um Schadcode zu importieren und diesen ggf. anschließend ausführt oder einem User bestimmte/mehr Rechte gibt auf dem System (ganz grob beschrieben).
    Eine gute Erläuterung findet man auch bei Wikipedia!!!

    Eine gute Beschreibung des Exploits (und was man dagegen machen kann) gibt es es bei Heise:
    http://www.heise.de/security/news/meldung/73560

    @Monika:
    Warum wird ein Scriptkiddy zum potentiellen Hacker wenn er ein Exploit in die Finger kriegt? ME ist er dann immernoch ein Skriptkiddy. Und ich stelle es nicht zur Verfügung, ich winke nur mit dem Zaunpfahl, weil ja sonst nichts passiert.
    Ich hab bis jetzt in keinem WP mir bekannten WP-Forum etwas gelesen, dass auf eine Lösung/Patch hinweist.
    Kein "Hallo es gibt ein Sicherheitsloch bitte macht dies und dies zu eurer Sicherheit."
    Ich denke mal, gerade die DAU's werden nicht Heise-Security lesen o.ä. Newsletter. Also denke ich, sollten die Wordpress-Betreuer dies in Ihren Foren tun bzw. mit einem Foren-Newsletter, oder auf der Index-Seite darauf hinweisen. Soviel support sollte mE schon drin sein :rolleyes:
     
  11. MacTV

    MacTV Well-Known Member

    Registriert seit:
    4. April 2005
    Beiträge:
    45
    Zustimmungen:
    0
  12. tboley

    tboley Well-Known Member

    Registriert seit:
    27. Oktober 2005
    Beiträge:
    1.178
    Zustimmungen:
    0
  13. Darth

    Darth Member

    Registriert seit:
    12. Februar 2006
    Beiträge:
    5
    Zustimmungen:
    0
    Das hab ich auch grade gesehen.
    Klappt das auch ohne Probleme mit der deutschen Version?
     
  14. tboley

    tboley Well-Known Member

    Registriert seit:
    27. Oktober 2005
    Beiträge:
    1.178
    Zustimmungen:
    0
    Sollte gehen. Du musst nur daran denken, den Ordner mit der Sprachdatei nach dem Update wieder an die richtige Stelle zu verschieben.
     
  15. leviathan

    leviathan Gast

    Weiß jemand, welche Dateien nun genau geändert wurden? Ich finde es etwas überflüssig, alle Dateien zu überschreiben, wenn du ein paar Sachen gefixt wurden, zumal ich auch bei diversen Dateien selbst etwas ergänzt und geändert habe. Aus http://trac.wordpress.org/query?status=closed&milestone=2.0.3 geht auch nicht immer direkt hervor, auf welche Datei sich nun die Änderung bezieht. Warum gibt's eigentlich kein Archiv nur mit Upgrade von 2.0.2 auf 2.0.3?
     
  16. Max.

    Max. Well-Known Member

    Registriert seit:
    3. März 2006
    Beiträge:
    303
    Zustimmungen:
    0
    Das möchte ich auch wissen.
     
  17. iKA

    iKA Member

    Registriert seit:
    3. April 2006
    Beiträge:
    16
    Zustimmungen:
    0
    Hab auch alles abgesucht, aber da schweigen sie sich leider drüber aus. :(
     
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden