Der Tecchannel berichtet heute, dass der IT-Sicherheitsspezialist Benjamin Flesch sieben neue Lücken in WordPress gefunden hat, die “hauptsächlich Cross-Site-Scripting-Angriffe” ermöglichen!
Benjamin Flesch stuft zwei davon sogar “als Hoch kritisch” ein, da ein potentieller Angriff keinerlei Authentifizierung benötigen würde! Derzeit gibt es noch keinen Patch – die Lücken betreffen die aktuelle WordPress-Version 2.2.1 und auch die davor!
Als Gegenmaßnahme hat Flesch einen sog. “friendly Worm” programmiert, der die Lücken schließen soll.
Ein potentieller Angreifer hätte somit unter anderem die Möglichkeit bestehende Beiträge zu löschen, einen neuen Administratoren-Zugang anzulegen, neue Beiträge zu schreiben oder Links in der Blogroll zu verändern.
Mein Englisch ist leider nicht so gut, was meint Ihr? Sollten wir in Panik ausbrechen? Oder reicht es auf ein WordPress-Update zu warten?
via TecChannel
Gehässig wie ich bin sage ich jetzt mal:
Wechselt besser zu Serendipity. 😉
@ Farlion: Ach, da gibts dann keine Lücken?
Die Zahl der bislang gefundenen s9y-Lücken ist um ein vielfaches kleiner und nicht so gravierend gewesen.
Das liegt aber in erster Linie daran, dass das Entwicklerteam kleiner ist und das System auf ganz anderen Strukturen basiert.
Würden an s9y so viele Leute herumbasteln wie an WP, wäre die Fehlermenge mit Sicherheit auch größer.
Solange man das Blog alleine nutzt dürfte nichts kritisches passieren, zumal die meisten Attacken Admin Rechte brauchen. Der letzte ist etwas anders gelagert und trifft alle die auch registrierte Autoren etc. haben, also solche die auch Daten aufs Blog laden können.
In den meisten Fällen kann man also abwarten würde ich sagen.