Thema: WordPress diverses ...

[SiLæncer]

Für das Content Mangement System WordPress sind zwei Exploits aufgetaucht, die es ermöglichen, PHP-Code auf dem Webserver auszuführen beziehungsweise ein Administrator-Login zu erbeuten. Das Open-Source-Programm (GPL) WordPress ist in PHP geschrieben und verwendet eine MYSQL-Datenbank. Die Entwickler legen großen Wert auf die Einhaltung von Standards und haben ihr Programm vor allem für Weblogs konzipiert.

Die erste, von Stefan Esser, der kürzlich resigniert das PHP-Security-Team verließ, beim Hardened-PHP Project beschriebene Sicherheitslücke nutzt die mbstring-Erweiterung von PHP, mit der es Wordpress ermöglicht, bei so genannten Trackbacks zwischen verschiedenen Zeichensätzen zu konvertieren. WordPress prüft zwar alle eingehenden Zeichenketten bei Trackbacks, die von anderen Seiten auf Blog-Einträge verweisen, ob sie verbotene SQL-Kommandos enthalten, allerdings erledigt die Software dies, bevor die mbstring-Konvertierung läuft. Ein Beispiel-Exploit schafft es so, zuerst die Warnmeldungen an den Andministrator abzuschalten, um dann die Hash-Werte der Passwörter auszulesen.

Der zweite Angriff gehört in die Rubrik Cross Site Scripting (XSS). Der eingebaute CSRF-Schutz (Cross Site Request Forgery) von WordPress hat einen Fehler, sodass ein Angreifer einem eingelogten Benutzer oder Administrator URLs so unterschieben kann, dass die darin enthaltenen Befehle mit seinen Rechten ausgeführt werden.

Beide Sicherheitslücken betreffen alle WordPress-Versionen bis 2.0.5. Die aktuelle Version 2.0.6 soll nicht betroffen sein.

Siehe dazu:

    * WordPress CSRF Protection XSS Vulnerability, Adivisory von Stefan Esser beim Hardened PHP Project
    * WordPress Trackback Charset Decoding SQL Injection Vulnerability, Adivisory von Stefan Esser beim Hardened PHP Project

Quelle und Links : http://www.heise.de/security/news/meldung/83280

[SiLæncer]

Der Sicherheitsdienstleister Core Security hat vor einem Fehler in der Verarbeitung bestimmter URLs in der populären Blog-Software WordPress gewarnt, die zu diversen Sicherheitsproblemen führt. Beispielsweise sollen nicht privilegierte, aber angemeldete Nutzer die Konfigurationsseiten von Plug-ins einsehen und deren Optionen verändern können.

Schuld ist das "admin.php"-Plug-in, das Zugriffsrechte nicht richtig prüft. Core Labs hat einige Beispiel-URLs in seinem Bericht aufgeführt, wie sich Plug-ins manipulieren lassen – darunter auch das WP-Modul für das PHP-Intrusion-Detection-System PHP-IDS.

Darüber hinaus weist das "Related Ways To Take Action"-Plug-in mehrere Cross-Site-Scripting-Schwachstellen auf, durch die ein Angreifer eigene JavaScripte im Browser eines Opfers ausführen und ihm auf diesem Weg etwa Cookies auslesen kann. Zudem reagiert die Login-Seite unterschiedlich auf die Angabe fehlerhafter Nutzernamen und Passwörter, wodurch ein Angreifer zumindest gültige Nutzernamen erraten könnte. Ein ähnliches Verhalten zeigt auch das Mailinterface zum Zusenden eines neuen Passworts.

Betroffen sind laut Bericht WordPress 2.8 und vorherige Versionen sowie WordPress MU (Multi-User) 2.7.1 und vorherige Versionen. Die Fehler sollen in den finalen Versionen 2.8.1 und MU 2.8.1 geschlossen sein, beide Fassungen in Kürze zum Download bereitstehen. Die Version 2.8.1 ist bislang nur als Release Candidate verfügbar.

Quelle : www.heise.de

[SiLæncer]

Eine Schwachstelle in der aktuellen Version 2.8.3 von WordPress und vorherigen Versionen lässt sich ausnutzen, um Administratoren temporär aus dem System auszusperren – dazu reicht ein Browser. Ursache des Problems ist ein Fehler in der Funktion zum Zurücksetzen des Passworts. Normalerweise erhält ein Anwender zum Resetten seines Passworts einen Link an seine Mail-Adresse geschickt. Beim Aufruf des Links löscht WordPress das alte Passwort, generiert ein neues und verschickt dies abermals per Mail.

Durch die Lücke genügt es aber, das PHP-Modul wp-login.php aufzurufen und den Key-Parameter statt mit einem einzelnen Wert mit einem Array zu füllen, um das Kennwort des WordPress-Admins unbefugt zu löschen. Da WordPress aber auf diesem Weg kein neues generiert, kann sich der Admin in der Folge nicht mehr auf dem normalen Weg anmelden. Die Schwachstelle lässt sich – anders als in der ersten Fassung des Fehlerberichts von Laurent Gaffié behauptet – jedoch nicht zum Einbruch in ein System ausnutzen. Gaffié hat bereits eine Korrektur seines ersten Berichts veröffentlicht.

Die WordPress-Entwickler sind über das Problem informiert und haben den Fehler im Entwicklungszweig korrigiert, in dem sie die Übergabe von Arrays an die Variable Key blockieren. Dazu haben sie in wp-login.php die Zeile

Dazu haben sie in wp-login.php die Zeile

if ( empty( $key ) )

durch

if ( empty( $key ) || is_array( $key ) )

ersetzt.

Administratoren, die bereits aus ihrem System ausgesperrt wurden, sollten das "Emergency Password Reset Script" für WordPress benutzen, für das allerdings ein Zugriff per SSH oder andere Dienste auf das System notwendig ist. Hinweise zur weiteren Vorgehensweise finden sich hier: Resetting Your Password.

Siehe dazu auch:

    * WordPress <= 2.8.3 Remote admin reset password

Quelle : www.heise.de

[SiLæncer]

Mit dem Update auf Wordpress 2.8.4 schließen die Entwickler eine Sicherheitslücke, die es Angreifern erlaubt, Administratoren aus ihren Blogs auszusperren.
Durch den von Laurent Gaffie entdeckten Fehler können Angreifer das Passwort eines Blogadministrators zurückzusetzen. Zwar kann der Admin-Account damit nicht kompromittiert werden, Admins sich aber auch nicht mehr einloggen.

Betroffen von dem Problem ist Wordpress bis einschließlich Version 2.8.3. Die neue Version 2.8.4 beseitigt den Fehler. Die Entwickler raten dringend zum Update, da der Fehler ärgerliche Folgen haben kann.

Quelle : www.golem.de

[SiLæncer]

Der WordPress-Gründer Matt Mullenweg warnt in Form von einem Blogeintrag vor Attacken auf die beliebte und häufig eingesetzte Blogsoftware. Angeblich gehen die Angriffe von einem Wurm aus.

Ziel dieses Unterfangens sind veraltete und ungepatchte Versionen von WordPress. Die momentan aktuelle Version 2.8.4 sowie die Vorgängerversion sind den offiziellen Angaben zufolge nicht verwundbar. Allen anderen Anwendern legt Mullenweg ein Upgrade dringend nahe.

Auf diese Weise könnte man vielen Unannehmlichkeiten aus dem Weg gehen, teilte er mit. Diesbezüglich verweist der Firmen-Chef auf eine herausgegebene Anleitung, in der die wichtigen Schritte verdeutlicht werden.

In dem Blogeintrag hieß es, dass der Schadcode gezielt nach älteren Versionen von WordPress Ausschau hält. Sofern eine verwundbare Ausführung entdeckt wird, registriert sich der Wurm als normaler Nutzer und kann durch eine Schwachstelle in die Link-Struktur eindringen. Dort angelangt kann der Schädling mit administrativen Rechten die jeweiligen Links manipulieren.

Besonders ärgerlich wird dies für die Blog-Betreiber, weil Google diese attackierten Seiten sodann nicht mehr listet. Obendrein enthält der Blog nach einem geglückten Angriff zahlreiche tote Links.

Somit sollte jeder, der eine veraltete Version im Einsatz hat, ein Upgrade in Erwägung ziehen. Im Vergleich zu einigen älteren WordPress-Ausführungen soll sich die Aktualisierung mittlerweile sehr simpel gestalten, hieß es.

Quelle : http://winfuture.de

[SiLæncer]

Die Wordpress-Entwickler haben das Sicherheits-Update 2.8.6 veröffentlicht, das zwei Schwachstellen beseitigt. Anwender sollten dies so bald wie möglich installieren, sofern nicht vertrauenswürdige Autoren Inhalte einstellen und Bilder hochladen dürfen. Zumindest einer der Fehler ermöglicht es Angreifern sonst, eigenen PHP-Code auf dem Server auszuführen.

Diese Lücke beruht auf einem Fehler bei der Normalisierung der Dateinamen in Anhängen von Blogposts. So ist es möglich, eine PHP-Datei als Bild zu tarnen (beispielsweise als vuln.php.jpg) und hochzuladen, ohne den WordPress-Schutz zum Blockieren gefährlicher Dateien anzutriggern. Anschließend genügt der Aufruf der Datei im Browser (http://verwundbares-wp/wp-content/uploads/2009/11/test-vuln.php.jpg), um den PHP-Code im Kontext des Webservers auszuführen.

Allerdings funktioniert das offenbar nicht mit jeder Serverkonfiguration. Insbesondere der Apache-Webserver soll in der Standardkonfiguration den Code beim Aufruf der Datei nicht ausführen können. Stattdessen erhält man nur ein kaputtes Bild im Browser angezeigt.

Erst wenn in .htaccess oder der globalen Konfiguration "Options +MultiViews" gesetzt ist, soll der Apache die Datei als ausführbar akzeptieren. Hinweisen auf der WordPress-Hacker-Mailingliste zufolge soll dies aber bei Webservern standardmäßig der Fall sein, auf denen Panel und WebHost Manager (WHM) zum Einsatz kommen.

Quelle : www.heise.de

[SiLæncer]

Nach übereinstimmenden Meldungen wurden in den vergangenen Tagen gleich reihenweise mit Wordpress erstellte Websites gehackt. Schien sich die Attacke zunächst nur gegen Websites zu richten, die von dem US-Unternehmen DreamHost gehostet werden, ist mittlerweile klar, dass auch Blogs auf GoDaddy, Bluehost und Media Temple betroffen sind. Zudem seien nach unbestätigten Aussagen von WPSecurityLock auch andere PHP-basierte Management-Systeme wie die eCommerce-Lösung Zen Cart von dem Angriff betroffen.

Allen infizierten Seiten scheinen Skripte hinzugefügt worden zu sein, die dem Anwender nicht nur Malware unterschieben, sondern unter anderem auch verhindern, dass etwa auf Googles Safe-Browsing-API beruhende Browser wie Firefox und Google Chrome beim Aufruf der Seite Alarm schlagen. Trifft Googles Search-Bot auf eine so präparierte Seite, liefert diese einfach harmlosen Code aus. Neu sind solche Browser-Weichen nicht, bislang nutzen Entwickler sie jedoch eher, um an den Internet Explorer und Firefox unterschiedlichen Code aufgrund unterschiedlicher Funktionen auszuliefern

Momentan rätseln die Experten noch, welche Lücke konkret bei dem Großangriff ausgenutzt wurde. Sicher scheint bislang nur, dass das Problem nicht bei Wordpress liegt, da ansonsten noch wesentlich mehr Seiten infiziert wären. Uneinigkeit herrscht hingegen bei der Frage, ob die Sicherheitslücke nur bei älteren Wordpress-Versionen auftritt: Während Todd Redfoot als Chief Information Security Officer ausdrücklich darauf hinweist, dass Kunden ein Update auf die neueste Wordpress-Version durchführen sollten, weist David Dede in seinem "Sucuri Security"-Blog eindeutig darauf hin, dass auch Seiten mit der neusten Wordpress-Fassung von der Attacke betroffen seien.

Dede hat in seinem Blog eine nach eigenen Angaben einfache und wirkungsvolle Lösung veröffentlicht, mit der betroffene Kunden ihre Websites wieder von der Malware reinigen können.

Quelle : www.heise.de

[SiLæncer]

Cyberkriminelle infizieren weiterhin im viele Wordpress-Blogs. Administratoren sollten auf verdächtige Zeilen im Wordpress-Code achten.

Websense warnt noch einmal, dass diese Masche immer noch massiv Blogs infiziert. Allein am letzten Wochenende habe man 23.000 infizierte Seiten ausmachen können. Besucher dieser Blogs werden dann auf Scareware-, Schadcode-, Pharma-Spam- und andere Seiten umgeleitet. Eine der Umleitungsseiten bietet sogar falsche Pässe, Führerscheine und andere Dokumente an.

Administratoren könnten leicht überprüfen, ob ein Blog infiziert ist. Die PHP-Seiten fangen dann in der Regel mit einem Base-64-kodiertem String an: eval(base64_decode(. Ist dies der Fall, sollte man die Seite vom Netz nehmen und den Code bereinigen.

Quelle : www.tecchannel.de

[SiLæncer]

Das Blogging-System Wordpress enthält in der KSES genannten Bibliothek zum Aufräumen von Benutzereingaben (HTML Sanitation) einen als kritisch eingestuften Fehler. Die Wordpress-Entwickler raten Blog-Betreibern, ihre Installation umgehend auf die Version 3.0.4 zu aktualisieren . Die Details der Änderungen sind dem Changelog zu entnehmen.

Quelle : www.heise.de

[SiLæncer]

Die Blogger-Plattform wordpress.com war am gestrigen Donnerstag Ziel eines massiven DDoS-Angriffs, der möglicherweise politische Motive hatte. Der Angriff führte zu dazu, dass Blogs zeitweise nicht zu erreichen waren. Nach Angaben der Betreiber erreichte die Paketflut zeitweise einen Durchsatz von mehreren Gigabit pro Sekunde.

wordpress.com-Chef Matt Mullenweg erklärte gegenüber US-Medien, dass drei Rechenzentren in Chicago, San Antonio und Dallas mit einer Vielzahl von Datenpaketen überflutet worden sei. Es sei der schwerste Angriff in der sechsjährigen Unternehmensgeschichte. Mullenweg vermutet, dass die Attacke politisch motiviert war und sich gegen ein bestimmtes, nicht englisch-sprachiges Blog auf wordpress.com gerichtet habe. Mittlerweile sind die Webserver wieder normal erreichbar, der Anbieter will jedoch davor sorgen, künftige Angriffe besser eindämmen zu können.

Wordpress ist eine Open-Source-Software für die Gestaltung von Blogs und anderen Web-Angeboten. Der Hersteller stellt jedoch nicht nur die Software, sondern auch den erforderlichen Platz auf einem Web-Server bereit. Rund 18 Millionen Blogs laufen auf der Plattform.

Quelle : www.heise.de

[SiLæncer]

Der Blog-Hoster und CMS-Entwickler Wordpress berichtet von einem Servereinbruch. Betroffenen seien mehrere Server, auf die Unbekannte einen Root-Zugriff erlangt haben - Wordpress.com-Nutzern wird angeraten die Passwörter zu ändern.
Wordpress.com hat den Servereinbruch gemeldet. Die Eindringlinge sollen einen Low-Level-Zugriff (Root) auf mehrere bei Automattic stehendende Wordpress-Server erlangt haben. Alle darauf befindlichen Daten könnten deshalb zugänglich gewesen sein.

Nach der Durchsicht der Logfiles der mittlerweile wieder abgesicherten Server lag auch der Quellcode des Dienstes offen und wurde kopiert. "Obwohl viel von unserem Code Open Source ist, gibt es vertrauliche Code-Teile von uns und unseren Partnern", heit es im offziellen Wordpress-Blog. Darüber hinaus hätten aber wenig Informationen offengelegen, vermutet Wordpress.

Für diejenigen, deren Blogs auf Wordpress.com gehostet werden, rät das Wordpress-Team zur Änderung der Passwörter. Dies gilt vor allem dann, wenn sie über mehrere Dienste hinweg die selben Passwärter verwenden. Dann sollten besser Tools wie 1Password, LastPass und KeePass mit starken, individuellen Passwörtern verwendet werden.

Wordpress.com selbst soll durch zusätzliche Maßnahmen künftig besser vor Servereinbrüchen abgesichert werden.

Quelle : www.golem.de

[SiLæncer]

Eine in drei populären Plug-ins entdeckte Hintertür hat die WordPress-Entwickler dazu bewogen, alle Passwörter für WordPress.org zurückzusetzen und den Zugriff auf die Erweiterungsrepositories zu sperren. Wie die Hintertüren in AddThis, WPtouch und W3 Total Cache gelangt sind, ist noch unklar.

Bislang nimmt man an, dass nicht die Entwickler selbst sie eingebaut haben, sondern Angreifer an deren Zugangsdaten für die Konten gelangt sind und im Repository den Code manipulierten. Wie die Unbekannten an die Daten gekommen sein könnten, schreiben die Betreiber von WordPress.org nicht. Man untersuche den Fall derzeit noch, sicherheitshalber habe man jedoch ein Passwort-Reset durchgeführt – dies betrifft auch die Seiten bbPress.org und BuddyPress.org.

Die Backdoors in den Plug-ins sollen sehr gut getarnt gewesen sein. Die WordPress-Entwickler haben die alten Versionen ohne Backdoor in die Repositories wieder zurückgespielt. Wer die genannten Plug-ins nutzt und in den letzten Tagen aktualisiert hat, sollte die Update-Seite erneut besuchen und die dort angebotene Version erneut installieren. Damit sollen die potenziellen Backdoors wieder aus dem System verschwinden – sofern ein Angreifer nicht bereits ins System eingedrungen ist und weitere Zugänge etabliert hat.

Quelle : www.heise.de

[SiLæncer]

Kriminelle nutzen eine kritische Lücke im WordPress-Addon TimThumb im großen Stil zur Verbreitung von Schadcode, wie der Antivirenhersteller Avast berichtet (PDF). Avast hat im September über 2500 infizierte Sites blockiert und rechnet im Oktober mit ähnlichen Zahlen. Die Angreifer installieren das professionelle Exploit-Framework BlackHole auf den Servern. Das Framework versucht die Besucher des WordPress-Blogs künftig mit Schadcode zu infizieren, indem es verschiedene Sicherheitslücken im Webbrowser und den installierten Plugins durchprobiert.

Was für eine Lücke in TimThumb die Angreifer ausnutzen, gab Avast nicht bekannt. Vermutlich handelt es sich dabei um eine seit drei Monaten bekannte Schwachstelle. Auch damals wurde die Lücke bereits aktiv ausgenutzt; sogar einer der Entwickler war betroffen. Da die Angreifer nach wie vor zahlreiche verwundbare WordPress-Installationen finden, kann vermutet werden, dass sich viele Admins der Gefahr noch nicht bewusst sind. Etwa, weil sie gar nicht wissen, dass sie das verwundbare Script auf dem Server installiert haben.

Das Addon kann beispielsweise Huckepack mit einem Theme auf den Server gelangt sein – einige Themes setzen TimThumb zur Größenänderung von Bildern ein. Admins sollten daher überprüfen, ob das installierte Theme eine verwundbare TimThumb-Version nutzt. Eine unvollständige Auflistung betroffener Themes liefert der Blog sucuri.net. Inzwischen ist Version 2.0 des Addons verfügbar, das nach Angaben des Mitentwicklers Mark Maunder vor diesen und weiteren Angriffen geschützt ist.

Quelle : www.heise.de

[SiLæncer]

Mit dem Update auf WordPress 3.3.2 schließen die Entwickler einige Sicherheitslücken in der weit verbreitetem Blog-Software und ihren Komponenten. In den Bibliotheken Pluploa, SWFUpload und SWFObject wurden nicht näher beschriebene Schwachstellen geschlossen, die vertraulich von Sicherheitsexperten gemeldet wurden. Die Bibliotheken dienen unter anderem dem Hochladen und Einbetten von Mediendateien.

Darüber hinaus haben die Entwickler eine Rechteausweitungslücke in WordPress behoben, durch die ein Blog-Adminstrator Plugins unter Umständen für alle Blogs, die auf dem Server (WordPress-Network) laufen, deaktivieren kann. Zudem wurden zwei Cross-Site-Scripting-Lücken geschlossen, durch die ein Angreifer eigenen JavaScript-Code in bestimmte WordPress-Seiten einschleusen kann.

Weitere Details findet man im Changelog. WordPress 3.3.2 steht auf der Projektseite zum Download bereit. WordPress-Admins können das Skript zudem über das Update-Menü des Dashboardsauf den neuesten Stand bringen.

Quelle : www.heise.de

[SiLæncer]

Die als Sicherheitsupdate gekennzeichnete WordPress-Version 3.4.2 korrigiert rund 20 Fehler in der Weblog-Software und behebt einige Sicherheitsprobleme, die etwa das Rechtesystem betreffen und zu einer Ausweitung der Zugriffsrechte führen können. Außerdem habe man ein Sicherheitsproblem in Multisite-Installationen behoben, schreiben die Entwickler in der Ankündigung.

Der ganze Artikel

Quelle : www.heise.de