Wordpress schließt Pingback-Hintertür

Wordpress hat ein Update auf die Version 3.5.1. herausgegeben, das nach Angaben der Entwickler drei Sicherheitslücken schließt und 37 Bugs beseitigt. Zum einen ist in früheren Versionen über Postings und die externe Bibliothek Plupload Cross-Site-Scripting möglich. Zum anderen können Pingbacks dazu missbraucht werden das Netz des Servers auszuspionieren oder sogar Angriffe zu starten.

Pingbacks sollen Blogbetreibern dabei helfen, nachzuvollziehen, ob andere Webseiten zu ihren Artikeln verlinken. Wenn ein Pingback ausgelöst wird, versuchet Wordpress deshalb bisher zu verifizieren, von welcher URL der Pingback ausgeht - und sendet auf Pingback-Anfragen auch Antworten, die Rückschlüsse darauf zulassen, welche URLs im internen Netzwerk existieren. Diese Rückmeldung bietet Angreifern Anhaltspunkte wo sie ihr Glück weiter versuchen können.

Die Angreifer können in einem nächsten Schritt die URL um Ports in der Anfrage ergänzen und erhalten dadurch die Möglichkeit offene Ports zu finden – denn auch hier antwortet Wordpress so, dass Rückschlüsse auf offene und geschlossene Ports möglich sind. Gleichzeitig ließ Wordpress URL-Anfragen mit Parameter zu, die dann etwa Cross-Site-Request-Forgery-Lücken (CSRF) ausnutzen, um beispielsweise den DNS-Server eines Routers zu manipulieren. Damit kann der Datenverkehr umgelenkt und ausgespäht werden.

Wordpress weist darauf hin, dass das Update durch einen Windows-Bug verhindert werden kann und hat dafür eine Installationshilfe veröffentlicht.

Siehe dazu auch:

• WordPress im heise Software-Verzeichnis

(kbe)