7 gefährliche Lücken in WordPress
Erstellt von Andreas Brandl am Mittwoch 1. August 2007
Der Tecchannel berichtet heute, dass der IT-Sicherheitsspezialist Benjamin Flesch sieben neue Lücken in WordPress gefunden hat, die “hauptsächlich Cross-Site-Scripting-Angriffe” ermöglichen!
Benjamin Flesch stuft zwei davon sogar “als Hoch kritisch” ein, da ein potentieller Angriff keinerlei Authentifizierung benötigen würde! Derzeit gibt es noch keinen Patch – die Lücken betreffen die aktuelle WordPress-Version 2.2.1 und auch die davor!
Als Gegenmaßnahme hat Flesch einen sog. “friendly Worm” programmiert, der die Lücken schließen soll.
Ein potentieller Angreifer hätte somit unter anderem die Möglichkeit bestehende Beiträge zu löschen, einen neuen Administratoren-Zugang anzulegen, neue Beiträge zu schreiben oder Links in der Blogroll zu verändern.
Mein Englisch ist leider nicht so gut, was meint Ihr? Sollten wir in Panik ausbrechen? Oder reicht es auf ein WordPress-Update zu warten?
via TecChannel
Mittwoch 1. August 2007 um 15:15
Gehässig wie ich bin sage ich jetzt mal:
Wechselt besser zu Serendipity. 😉
Mittwoch 1. August 2007 um 15:20
@ Farlion: Ach, da gibts dann keine Lücken?
Mittwoch 1. August 2007 um 15:32
Die Zahl der bislang gefundenen s9y-Lücken ist um ein vielfaches kleiner und nicht so gravierend gewesen.
Das liegt aber in erster Linie daran, dass das Entwicklerteam kleiner ist und das System auf ganz anderen Strukturen basiert.
Würden an s9y so viele Leute herumbasteln wie an WP, wäre die Fehlermenge mit Sicherheit auch größer.
Donnerstag 2. August 2007 um 11:07
WordPress: 7 neue Sicherheitslücken – Panik?
Andy von der Blog-Abfertigung hat gestern auf die von IT-Sicherheitsspezialist Benjamin Flesch entdeckten Sicherheitslücken hingewiesen.
Benjamin Flesch stuft zwei davon sogar “als Hoch kritisch” ein, da ein potentieller Angriff keinerlei Au…
Donnerstag 2. August 2007 um 11:54
Solange man das Blog alleine nutzt dürfte nichts kritisches passieren, zumal die meisten Attacken Admin Rechte brauchen. Der letzte ist etwas anders gelagert und trifft alle die auch registrierte Autoren etc. haben, also solche die auch Daten aufs Blog laden können.
In den meisten Fällen kann man also abwarten würde ich sagen.