Für das Content Mangement System WordPresssind zwei Exploits aufgetaucht, die es ermöglichen, PHP-Code auf demWebserver auszuführen beziehungsweise ein Administrator-Login zuerbeuten. Das Open-Source-Programm (GPL) WordPress ist in PHPgeschrieben und verwendet eine MYSQL-Datenbank. Die Entwickler legengroßen Wert auf die Einhaltung von Standards und haben ihr Programm vorallem für Weblogs konzipiert.
Die erste, von Stefan Esser, der kürzlich resigniert das PHP-Security-Team verließ, beim Hardened-PHP Project beschriebene Sicherheitslücke nutzt die mbstring-Erweiterungvon PHP, mit der es WordPress ermöglicht, bei so genannten Trackbackszwischen verschiedenen Zeichensätzen zu konvertieren. WordPress prüftzwar alle eingehenden Zeichenketten bei Trackbacks, die von anderenSeiten auf Blog-Einträge verweisen, ob sie verbotene SQL-Kommandosenthalten, allerdings erledigt die Software dies, bevor diembstring-Konvertierung läuft. Ein Beispiel-Exploit schafft es so,zuerst die Warnmeldungen an den Andministrator abzuschalten, um danndie Hash-Werte der Passwörter auszulesen.
Der zweite Angriffgehört in die Rubrik Cross Site Scripting (XSS). Der eingebauteCSRF-Schutz (Cross Site Request Forgery) von WordPress hat einenFehler, sodass ein Angreifer einem eingelogten Benutzer oderAdministrator URLs so unterschieben kann, dass die darin enthaltenenBefehle mit seinen Rechten ausgeführt werden.
Beide Sicherheitslücken betreffen alle WordPress-Versionen bis 2.0.5. Die aktuelle Version 2.0.6 soll nicht betroffen sein.
Siehe dazu:
- WordPress CSRF Protection XSS Vulnerability, Adivisory von Stefan Esser beim Hardened PHP Project
- WordPress Trackback Charset Decoding SQL Injection Vulnerability, Adivisory von Stefan Esser beim Hardened PHP Project
Quelle: Heise.de