Blog-abfertigung

Blogger aus der Frankenmetropole Nürnberg

7 gefährliche Lücken in WordPress

Erstellt von Andreas Brandl am Mittwoch 1. August 2007

Der Tecchannel berichtet heute, dass der IT-Sicherheitsspezialist Benjamin Flesch sieben neue Lücken in WordPress gefunden hat, die „hauptsächlich Cross-Site-Scripting-Angriffe“ ermöglichen!

Benjamin Flesch stuft zwei davon sogar „als Hoch kritisch“ ein, da ein potentieller Angriff keinerlei Authentifizierung benötigen würde! Derzeit gibt es noch keinen Patch – die Lücken betreffen die aktuelle WordPress-Version 2.2.1 und auch die davor!

Als Gegenmaßnahme hat Flesch einen sog. „friendly Worm“ programmiert, der die Lücken schließen soll.

Ein potentieller Angreifer hätte somit unter anderem die Möglichkeit bestehende Beiträge zu löschen, einen neuen Administratoren-Zugang anzulegen, neue Beiträge zu schreiben oder Links in der Blogroll zu verändern.

Mein Englisch ist leider nicht so gut, was meint Ihr? Sollten wir in Panik ausbrechen? Oder reicht es auf ein WordPress-Update zu warten?

via TecChannel

 
 

5 Kommentare zu “7 gefährliche Lücken in WordPress”

  1. Farlion sagt:

    Gehässig wie ich bin sage ich jetzt mal:
    Wechselt besser zu Serendipity. 😉

  2. andy sagt:

    @ Farlion: Ach, da gibts dann keine Lücken?

  3. Farlion sagt:

    Die Zahl der bislang gefundenen s9y-Lücken ist um ein vielfaches kleiner und nicht so gravierend gewesen.
    Das liegt aber in erster Linie daran, dass das Entwicklerteam kleiner ist und das System auf ganz anderen Strukturen basiert.
    Würden an s9y so viele Leute herumbasteln wie an WP, wäre die Fehlermenge mit Sicherheit auch größer.

  4. alles was bewegt sagt:

    WordPress: 7 neue Sicherheitslücken – Panik?

    Andy von der Blog-Abfertigung hat gestern auf die von IT-Sicherheitsspezialist Benjamin Flesch entdeckten Sicherheitslücken hingewiesen.
    Benjamin Flesch stuft zwei davon sogar „als Hoch kritisch“ ein, da ein potentieller Angriff keinerlei Au…

  5. Frank sagt:

    Solange man das Blog alleine nutzt dürfte nichts kritisches passieren, zumal die meisten Attacken Admin Rechte brauchen. Der letzte ist etwas anders gelagert und trifft alle die auch registrierte Autoren etc. haben, also solche die auch Daten aufs Blog laden können.
    In den meisten Fällen kann man also abwarten würde ich sagen.

Kommentar schreiben

XHTML: Sie können diese Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>