02.03.2006 12:12
Sicherheitslücken im Blog-System Wordpress
In dem Blog-System Wordpress wurden mehrere Sicherheitslücken entdeckt, die so genanntes Cross Site Scripting (XSS) und die Preisgabe interner Serverinformationen ermöglichen, wie aus einem Advisory einer Gruppe Namens Neo Security Team hervorgeht. Durch eine unzureichende Filterung der Kommentare lässt sich JavaScript-Code in diese einbetten, der nach ihrer Freischaltung auf den Rechnern der Besucher zur Ausführung kommt. Dies ist besonders kritisch bei Wordpress-Installationen, auf denen keine Moderation erfolgt und Kommentare automatisch freigeschaltet werden. Ein unregistrierter Nutzer könnte sich auf diese Weise möglicherweise administrativen Zugang zum Blog verschaffen, wenn die manipulierten Kommentare von einem eingeloggten Administrator gelesen werden.
Weiterhin lassen sich aufgrund fehlender Sicherheitsabfragen diverse PHP-Skripte von Wordpress direkt aufrufen. Häufig kommt es dabei, wie beispielsweise bei der Datei wp-includes/default-filters.php, zu einer Fehlermeldung, die den vollständigen Pfad der Wordpress-Installation im Dateisystem des Servers enthält. Unter Umständen lassen sich mit dieser Information weitere Angriffe gegen das Blog-System oder den Server realisieren. Darüber hinaus wird in dem Advisory ein frei zugängliches Directory-Listing beim Aufruf des Verzeichnisses wp-includes/ bemängelt, was jedoch als unkritisch eingestuft wird.
Die Fehler wurden in Wordpress 2.0.1 nachgewiesen. Laut Advisory sind auch alle älteren Versionen davon betroffen. Ein offizieller Patch ist bislang nicht verfügbar, doch in dem Advisory wird zur Behebung der XSS-Lücke empfohlen, die vier Aufrufe der Funktion trim() in der Datei wp-comments-post.php von Wordpress 2.0 durch htmlentities(trim()) zu ersetzen, um die erforderliche Filterung nachzurüsten. Direkt ausführbare PHP-Skripte lassen sich demnach durch ein vorangestelltes if (eregi('Name-des-Skripts-eintragen.php', $_SERVER['PHP_SELF'])) die('You are not allowed to see this page directly'); gegen direkten Aufruf sichern. Bis zum Erscheinen einer gepatchten Version kommt als möglicher Workaround gegen XSS-Angriffe die gewissenhafte Moderation sämtlicher Kommentare infrage.
Siehe dazu auch:
(cr)
- WordPress 2.0.1 Multiple Vulnerabilities, Advisory des Neo Security Team
Unsere Entdeckung, dass via Skype verschickte URLs von Microsoft besucht werden, hat für einigen Aufruhr gesorgt. Mittlerweile liegen etwas mehr Informationen dazu auf dem Tisch. 
Die aktuelle BKA-Trojaner sperrt nicht nur den Rechner, sondern legt auch Bilder mit Kinderpornografie auf dem System ab. Mit Desinfec't kann man diesen Unrat aufspüren und beseitigen. 
Der Krypto-Experte Karsten Nohl kritisiert die Absenkung des Schutzniveaus für Steuer-, Sozial- und Gerichtsdaten im Rahmen der gesetzlichen Anpassungen für De-Mail. 
Wer verhindern will, dass Nutzer auf fremde Kalender zugreifen oder eigenen PHP-Code in den Server einschleusen, sollte baldmöglichst auf eine der aktuellen Versionen umsteigen. 
Die Mozilla-Entwickler haben zahlreiche Sicherheitslöcher in Firefox und Thunderbird gestopft. Durch eine kann ein Angreifer, der bereits einen Fuß in der Tür hat, an Systemrechte gelangen. 
