h4Rk

1Aug/07

Wordpress: Der freundliche Wurm

4_EveR_YounG: ‘WordPress’, Flickr; CC-Lizenz (BY-SA 2.0)Die aktuelle Version 2.2.1 der freien Blogsoftware Wordpress, mit der auch diese Seite betrieben wird, enthält verschiedene Sicherheitslücken; einige davon werden als "kritisch" eingestuft. Von offizieller Seite gibt es noch keine Patches. Daher hat sich der Entdecker der Lücken, Benjamin Flesch alias beNi, selbst ans Werk gemacht und einen originellen Weg zur Verbreitung seines Fixes gefunden: den "freundlichen Wurm".

Dieser richtet im Gegensatz zu seinen gemeinen, bösen Artgenossen keinen Schaden an, sondern behebt semiautomatisch die bekannten Schwachstellen im System. Der Blogadministrator muss lediglich einen Link zu Fleschs eigenem Blog setzen, diesen aus dem Adminmenü heraus aufrufen und wird anschliessend von dem kleinen Kriechtier an die Hand genommen.

Einzige Voraussetzung: Vertrauen in die Redlichkeit von beNi und seinem Code.

Da der Quelltext des Programms frei zugänglich ist, wird ein Update sehr empfohlen. Ein einigermaßen technisch-versierter Bösewicht könnte diesen nämlich als Grundlage für wirklich fiese Attacken missbrauchen.

Ich selber habe mir den Wurm schon ins Haus geholt. Noch scheint es zu stehen. Vielen Dank an beNi für die Entdeckung, den Patch und die geniale Idee!

Tags: , ,
Bookmark and Share
  • Hallo Markus,

    danke für den Hinweis. Das ist eben die Sache mit dem Vertrauen bei solchen Geschichten. Ich haba da einfach - etwas naiv/blind - unterstellt: "Wenn gulli.com darüber berichtet, dann geht das wohl in Ordnung". Dieser spezielle Wurm bleibt ja dennoch - Gott sei Dank! - ein freundlicher.

    In diesem Fall hätte beNi vielleicht ausführlicher dokumentieren sollen, was sein Script denn so anstellt.

    Im Zweifelsfall also lieber manuell patchen!

    Gruß,
    Hendrik
  • Hi,
    leider veraendert der Wurm auch ungewollt andere Stellen im Code:
    http://www.mynethome.de/2007/08/02/wp-xss-wurm-...

    Viele Gruesse
    Markus
blog comments powered by Disqus
« Rückmeldung Nahost: Spielzeug mit fraglichem pädagogischem Wert »

Kurz & pfründig | Social Me

(Reicht nicht? Klick' hier!)

Neulich beim Agitproppen…

SCHLAGworte

abmahnung Afghanistan al-qaida arcor article atatürk bahn bfv blink-182 blogosphere Blogosphäre braun BRD censor contest creativity Datenschutz democracy Demokratie elections freitagstexter germany google intern international Journalismus law media memo to self Metaphysisches Naher Osten net news newspaper Recht Sicherheit social web society Terrorismus turkey twitter video wordpress writing youtube

Hängemappen

RSS Blogroll (Auszug)

Formalitäten