05.02.2008 11:56
Lücke in WordPress ermöglicht Ändern von Nutzerbeiträgen
Die Entwickler des Blog-Systems WordPress haben Version 2.3.3 veröffentlicht, in der eine Sicherheitslücke geschlossen ist. Durch einen Fehler in der XML-RPC-Implementierung war es möglich, mit speziellen HTTP-Requests Einträge anderer Blogger zu ändern. Allerdings war dazu laut Fehlerbericht ein gültiges Nutzerkonto notwendig. Mit der XML-RPC-Implementierung hatte WordPress in der Vergangenheit des Öfteren zu kämpfen.
Neben der Schwachstelle wurden auch einige andere Fehler beseitigt. Wer allerdings nur Interesse an dem Security-Fix hat, dem empfehlen die Entwickler, die korrigierte Version des Skripts xmlrpc.php herunterzuladen und zu installieren. Darüber hinaus weist der Bericht auf eine Schwachstelle in dem Plug-in WP-Forum hin, die bereits aktiv ausgenutzt wird, um über SQL-Injection Zugriff auf die Datenbank zu erhalten. Bis zum Erscheinen eines Updates solle man das Plug-in deaktivieren.
Siehe dazu auch:
- WordPress 2.3.3, Fehlerbericht auf Wordpress.org
(dab)
Unsere Entdeckung, dass via Skype verschickte URLs von Microsoft besucht werden, hat für einigen Aufruhr gesorgt. Mittlerweile liegen etwas mehr Informationen dazu auf dem Tisch. 
Die aktuelle BKA-Trojaner sperrt nicht nur den Rechner, sondern legt auch Bilder mit Kinderpornografie auf dem System ab. Mit Desinfec't kann man diesen Unrat aufspüren und beseitigen. 
Der Krypto-Experte Karsten Nohl kritisiert die Absenkung des Schutzniveaus für Steuer-, Sozial- und Gerichtsdaten im Rahmen der gesetzlichen Anpassungen für De-Mail. 
Wer verhindern will, dass Nutzer auf fremde Kalender zugreifen oder eigenen PHP-Code in den Server einschleusen, sollte baldmöglichst auf eine der aktuellen Versionen umsteigen. 
Die Mozilla-Entwickler haben zahlreiche Sicherheitslöcher in Firefox und Thunderbird gestopft. Durch eine kann ein Angreifer, der bereits einen Fuß in der Tür hat, an Systemrechte gelangen. 
