Für das Content
Mangement System WordPress sind zwei Exploits aufgetaucht, die es ermöglichen,
PHP-Code auf dem Webserver auszuführen beziehungsweise ein Administrator-Login
zu erbeuten. Das Open-Source-Programm (GPL) WordPress
ist in PHP geschrieben und verwendet eine MYSQL-Datenbank. Die Entwickler legen
großen Wert auf die Einhaltung von Standards und haben ihr Programm vor
allem für Weblogs konzipiert.
Die erste, von Stefan Esser, der kürzlich resigniert das PHP-Security-Team
verließ, beim Hardened-PHP Project beschriebene Sicherheitslücke
nutzt die mbstring-Erweiterung von PHP, mit der es Wordpress ermöglicht,
bei so genannten Trackbacks zwischen verschiedenen Zeichensätzen zu konvertieren.
WordPress prüft zwar alle eingehenden Zeichenketten bei Trackbacks, die
von anderen Seiten auf Blog-Einträge verweisen, ob sie verbotene SQL-Kommandos
enthalten, allerdings erledigt die Software dies, bevor die mbstring-Konvertierung
läuft. Ein Beispiel-Exploit schafft es so, zuerst die Warnmeldungen an
den Andministrator abzuschalten, um dann die Hash-Werte der Passwörter
auszulesen.
Der zweite Angriff gehört in die Rubrik Cross Site Scripting (XSS). Der
eingebaute CSRF-Schutz (Cross Site Request Forgery) von WordPress hat einen
Fehler, sodass ein Angreifer einem eingelogten Benutzer oder Administrator URLs
so unterschieben kann, dass die darin enthaltenen Befehle mit seinen Rechten
ausgeführt werden.
Beide Sicherheitslücken betreffen alle WordPress-Versionen bis 2.0.5.
Die aktuelle Version 2.0.6 soll nicht betroffen sein.