ELEXPRESS.de |

Der Sicherheitsdienstleister Core Security hat vor einem Fehler in der Verarbeitung bestimmter URLs in WordPress gewarnt, die zu diversen Sicherheitsproblemen führt. Beispielsweise sollen nicht berechtigte, aber angemeldete Nutzer die Konfigurationsseiten von Plug-ins einsehen und deren Optionen verändern können.

Schuld ist das “admin.php”-Plug-in, das Zugriffsrechte nicht richtig prüft. Neben diesen Fehlern ließen sich auch weitere XSS Lücken in Plugins und dem WordPress Mailinterface finden, was unter anderem dafür zuständig ist, ein neues Passwort zuzusenden. XSS Lücken lassen sich einfach dazu ausnutzen um beispielsweise Cookies auszulesen. Dies ließe sich bei WordPress zumindest schonmal dafür nutzen, einen gültigen Benutzernamen zu finden.

In der neuen WordPress Version 2.8.1 werden die Zugriffssicherheitsprobleme behoben. Wer also einen Blog mit mehren Autoren hat, die bis jetzt nicht an Plugins rumexperimentieren sollten und allgemein sich vor Fehlern in der Zugriffsprüfung seitens der admin.php sorgt sollte nachdringlich zum Update greifen. Für Einzelblogger schätze ich das Sicherheitsrisiko jetzt nicht sehr hoch ein. Da jedoch auch der Sicherheitsdienstleiter bei seiner Prüfung sicherlich zeitlich begrenzt war, ist es also nicht ausgeschlossen, dass bestimmte Fehler übersehen wurden, die weitaus schlimmer sind und in der neuen Version behoben werden. Dann würde sich ein Update sicherlich schleunigst empfehlen. Aber das Backup vorher nicht vergessen