Menü
Security

WordPress 2.8.6 verhindert Upload von Schadcode

Von
vorlesen Drucken Kommentare lesen 31 Beiträge

Die Wordpress-Entwickler haben das Sicherheits-Update 2.8.6 veröffentlicht, das zwei Schwachstellen beseitigt. Anwender sollten dies so bald wie möglich installieren, sofern nicht vertrauenswürdige Autoren Inhalte einstellen und Bilder hochladen dürfen. Zumindest einer der Fehler ermöglicht es Angreifern sonst, eigenen PHP-Code auf dem Server auszuführen.

Diese Lücke beruht auf einem Fehler bei der Normalisierung der Dateinamen in Anhängen von Blogposts. So ist es möglich, eine PHP-Datei als Bild zu tarnen (beispielsweise als vuln.php.jpg) und hochzuladen, ohne den WordPress-Schutz zum Blockieren gefährlicher Dateien anzutriggern. Anschließend genügt der Aufruf der Datei im Browser (http://verwundbares-wp/wp-content/uploads/2009/11/test-vuln.php.jpg), um den PHP-Code im Kontext des Webservers auszuführen.

Allerdings funktioniert das offenbar nicht mit jeder Serverkonfiguration. Insbesondere der Apache-Webserver soll in der Standardkonfiguration den Code beim Aufruf der Datei nicht ausführen können. Stattdessen erhält man nur ein kaputtes Bild im Browser angezeigt.

Erst wenn in .htaccess oder der globalen Konfiguration "Options +MultiViews" gesetzt ist, soll der Apache die Datei als ausführbar akzeptieren. Hinweisen auf der WordPress-Hacker-Mailingliste zufolge soll dies aber bei Webservern standardmäßig der Fall sein, auf denen Panel und WebHost Manager (WHM) zum Einsatz kommen.

Siehe dazu auch:

(dab)