« zurück zur Startseite.
1.August, 2009

Kritische Sicherheitslücke in WordPress

In den Versionen 2.8.2, 2.8.1, 2.8 und älter (z.B. 2.7.1) von WordPress hat einer unserer Forenbenutzer eine recht kritische Sicherheitslücke entdeckt.

Registrierte Benutzer (der Status “Abonnent” reicht schon), können mit einer leicht geänderten URL diverse Einstellungsseiten, z.B. Plugins, Themes, aufrufen und dort Einstellungen vornehmen, obwohl sie natürlich keine Rechte dafür haben. Bis es einen Bugfix für das Problem gibt, raten wir dringend die Benutzerregistrierung zu deaktivieren und ggf. alle (unbekannten) registrierten Benutzer zu löschen, sofern dies vertretbar ist.

NACHTRAG: Der Fehler wurde in WordPress 2.8.3 behoben.


jottlieb

Dieser Beitrag wurde am 1. August 2009 um 11:46 von jottlieb in der Rubrik News abgelegt. Dieser Beitrag wurde 7617 mal aufgerufen. Neue Kommentare via RSS 2.0 RSS 2.0 - Trackback Trackback URI

46 Trackbacks

  1. Wordpress 2.8.3 erschienen | GUTES TUN am 3. August 2009
  2. WordPress 2.8.3 Upgradepaket veröffentlicht - Upgrade, Vorgängerversion, Upgradepaket, Tage, DE-Edition, Registrierten, Blog, Soll - meinungsguck am 3. August 2009
  3. Wichtiges WordPress Update auf 2.8.3 - WordPress-Zone am 3. August 2009
  4. Wordpress 2.8.3 Sicherheitsupdate « // TBDTTT am 3. August 2009
  5. WordPress 2.8.3 inkl. DE-Edition und Upgradepaket veröffentlicht - Heute wurde WordPress 283 veröffentlicht Diese Version ist ein Sicherheitsrelease und behebt einen schwerwiegenden Rechtefehler Wir raten allen Benutzern dringend auf die neue Version zu am 3. August 2009
  6. Wordpress Version 2.8.2 - Wordpresshosting am 3. August 2009
  7. Nutzer-Accounts gelöscht at Blogsburg am 3. August 2009
  8. Vorsicht: Wordpress erneut mit Sicherheitslücke « AdClicks-Agent.de am 3. August 2009
  9. Roadmap und timeline zu WordPress | HDS home am 3. August 2009
  10. Für den einen die geilste Software der Welt … | Kim Huebel - Online am 3. August 2009
  11. Kritische Sicherheitslücke in WordPress 2.8.2 | Z10 am 2. August 2009
  12. TOMSWordPressMagazine am 2. August 2009
  13. omBuzzer.de am 2. August 2009
  14. Eintrag "Kritische Sicherheitslücke in aktuellen Wordpress Versionen" auf Webrocker am 2. August 2009
  15. Kritische Sicherheitslücke in WordPress | Webseiten-Infos.de am 2. August 2009
  16. WordPress…………. « hep-cat.de am 2. August 2009
  17. DerAdler im Netz am 2. August 2009
  18. WordPress 2.8.3 DE-Edition und Upgradepaket veröffentlicht am 5. August 2009
  19. hoos Area » Blog Archiv » Schnell alle User löschen!!! am 1. August 2009
  20. » Fail des Tages ist die kritische Sicherh … Nachtwächter-Blah am 1. August 2009
  21. » Anmeldung z.Z. nicht möglich !!! am 2. August 2009
  22. Sicherheit in WordPress: WP-Version aus dem Feed und Quelltext entfernen - WordPress, Sicherheit, Version, Generator, Feed - Playground am 5. August 2009
  23. Gesichtet: Das Fundstueck der Woche (12) | GESICHTET.net am 2. August 2009
  24. Helmut Roewer (dunkelangst) 's status on Saturday, 01-Aug-09 09:56:58 UTC - Identi.ca am 1. August 2009
  25. Michas Kloenbank am 1. August 2009
  26. Zementblog » News (1. August ‘09) am 1. August 2009
  27. Kritische Sicherheitslücke in Wordpress » mBlog am 1. August 2009
  28. Kritische Sicherheitslücke in WordPress 2.8.2 » Beitrag » Dackworld am 1. August 2009
  29. Kritische Lücke in WordPress! am 1. August 2009
  30. WordPress: kritische Sicherheitslücke und weitere News » Peruns Weblog am 1. August 2009
  31. WordPress 2.8.3 inkl. DE-Edition und Upgradepaket veröffentlicht am 4. August 2009
  32. Schwerwiegende Sicherheitslücke in Wordpress behoben. » WebService, Wordpress, Suleitec, Tarife, Webhosting, Team  » Suleitec Infoblog am 4. August 2009
  33. Vermeintliche Sicherheit am 4. August 2009
  34. Wordpress 2.8.3 - Wieder neues Sicherheitsupdate | DimidoBlog am 4. August 2009
  35. xephir.de » Wordpress: Update auf 2.8.3 inkl. DE-Edition (Wichtig!) am 4. August 2009
  36. WordPress upgrade auf 2.8.3 und keine Probleme festgestellt - WordPress, technik, update, upgrade, blog, de-DE, WordPress Deutschland | DELIJO am 4. August 2009
  37. Dampfmaschine » Blog Archive » Wordpress 2.8.3 erschienen am 4. August 2009
  38. WebhostingBlog - Corporate-Blog der dogado Internet GmbH am 4. August 2009
  39. WordPress MU 2.8.3 freigegeben - WordPress MU 283, behebt einen schwerwiegenden Rechtefehler, Wir raten allen Benutzern dringend auf die neue Version zu aktualisieren, Aufgrund eines Bugs in WordPress MU 282 ist keine automatische Aktualisierung auf Versi am 8. August 2009
  40. Urgixgax Blog » WordPress 2.8.3 inkl. DE-Edition und Upgradepaket! am 8. August 2009
  41. WordPress auf Version 2.8.3 aktualisiert | HDS home am 11. August 2009
  42. WordPress 2.8.3 verfügbar » Der Multimediablog am 11. August 2009
  43. TalkPress, Yet Another WordPress Echo Chamber am 21. August 2009
  44. «Profan... den Rest kannst du dir sparen.» :: Wordpress 2.8.3 Sicherheitsupdate am 11. September 2009
  45. Hacker attackieren ältere WordPress Versionen • Jiinx.net am 6. September 2009
  46. Sicherheitslücke in WP 2.8.2 | Marco Pälecke am 17. Dezember 2009

29 Kommentare | Kommentar schreiben

  1. #1 Samuel
    1. August 2009 um 11:54

    Betrifft das auch Systeme, die noch nicht auf WP 2.8.2 aktualisiert haben? (im konkreten Fall läuft WP 2.8)

  2. #2 dunkelangst
    1. August 2009 um 12:03

    Danke für die Warnung!

    Ich empfehle dem WordPress Projekt einmal mit Hilfe der ISO 9000 (Grundlagen), ISO 9001 (Anforderungen; also Projekt extern) und vor allem der ISO 9004 (Leitfaden zur Leistungsverbesserung; also Projekt intern) die Einführung eines sehr wirksamen Qualitätsmanagement Systems. So ein schwerwiegender Fehler dürfte nämlich nicht “einfach so” passieren.

  3. #3 jottlieb
    1. August 2009 um 12:13

    @Samuel:
    Siehe Nachtrag, auch ältere Versionen sind betroffen.

  4. #4 ocean90
    1. August 2009 um 12:29

    Gibts dazu schon ein Ticket?

  5. #5 jottlieb
    1. August 2009 um 12:31

    @ocean90:
    Sowas wird direkt an das security-Team gemeldet, was wir getan haben.

  6. #6 Steven
    1. August 2009 um 16:06

    Hatte jetzt gerade auch eine komische Anmeldung, die ich nun deswegen direkt wieder gelöscht habe..

  7. #7 Dieter
    1. August 2009 um 16:43

    Na da habe ich Glück gehabt, denn meine Blogs kennen nur mich als registrierten Benutzer.
    Kommentatoren müssen sich bei mir nicht registrieren.
    Damit darf ich trotz diese kritische Sicherheitslücke gelassen bleiben. :-)

  8. #8 Thomas Scholz
    1. August 2009 um 17:36

    Ich habe im Forumsbeitrag einen schnellen Fix bereitgestellt, der nicht gleich das Abschalten der Registrierung erfordert. Funktioniert auch mit alten WordPress-Versionen.

  9. #9 Dieter
    1. August 2009 um 21:05

    Das ist doch jetzt wirklich mehr als oberpeinlich?
    Dartf so etwas bei einem aktuellem Blogsystem, das von soo vielen Usern verwendet wird, überhaupt passieren?
    Nein, man hat ja die Möglichkeit spätestens alle 14 Tage upzudaten, irgendwie kann ich nur noch mit dem Kopf schütteln!

  10. #10 Robert
    1. August 2009 um 21:18

    Kann bitte jemand ganz schnell den Fix von Thomas Scholz aus dem Forum entfernen und aus dem Google-Cache löschen lassen? Damit kann wirklich jedes script kid den Exploit nachbauen.

  11. #11 jottlieb
    1. August 2009 um 22:12

    @Thomas Scholz:
    Dein Fix kann sehr sehr einfach umgangen werden.

  12. #12 Thomas Scholz
    2. August 2009 um 00:25

    Ich habe schon eine sichere Variante fertig. Jetzt weiß ich nur nicht, ob ich die anbieten, oder mich an euer Konzept der »Security by Obscurity« halten soll.

    Ich finde die transparente Methode besser, bin aber gesprächsbereit.

  13. #13 sabre
    2. August 2009 um 04:20

    hmpf… deswegen hab’ ich die Benutzerregistrierung schon seit Ewigkeiten deaktiviert und trage die wenigen Benutzer, denen ich vertraue, manuell ein.

    Wordpress hat wirklich ein Problem mit der registrierten Usern, rein vom Gefühl her würde ich sagen, dass mindestens alle viertel Jahre eine große Schwachstelle im Zusammenhang mit registrierten Benutzern auftaucht.

    Schlimmstenfalls kann es jetzt so laufen, wie kürzlich beim SMF. Da waren (laut Gerüchten) 60% der Foren gehackt, bis ein offizieller Patch rauskam. Weil die wenigsten die ganze Zeit in den Community-Forum rumhängen.

  14. #14 Markus
    2. August 2009 um 11:41

    @Dieter zeig mir eine software, egal ob betriebssystem, brennprogramm, mysql, wordpress oder oder oder die fehlerfrei ist.

  15. #15 Olaf
    2. August 2009 um 14:32

    @Thomas: es wäre unserer Meinung nach besser, wenn Du den Fix zurückhalten würdest bis es eine Reaktion der Entwickler gibt. Leider haben wir bis jetzt immer noch kein Feedback auf diese doch happige Sicherheitslücke bekommen. Wir werden jetzt mal von allen Seiten druck machen und auf eine schnelle Bugfix-Version drängen. In jedem Fall vielen Dank für Dein Engagement und ich hoffe auf das Verständniss der Benutzer die eine Veröffentlichung fordern. Damit wäre das Problem aber sofort sichtbar und würde quasi dazu einladen Schaden anzurichten. Ganz klar gibt es dazu verschiedene, zu respektierende Meinungen, aber wir denken, dass die Entwickler die Möglichkeit bekommen sollten zu reagieren.

  16. #16 Andreas
    2. August 2009 um 14:40

    Gibt es eine Möglichkeit, alle Anmeldungen registrierter User unterhalb Mitarbeiter temporär zu blocken (bitte für 2.7.1 inkl.) ? Das Löschen von registrierten Usern geht schlecht, wenn über die Jahre ein paar Hundert zusammengekommen sind. Man kann auch nie sicher sein, ob sich da nicht einer zum “Bösewicht” gewandelt hat. Man könnte eine vorübergehendes Blocken mit einem kurzen Info-Artikel verbinden – und wieder aufheben, wenn der Fehler geklärt ist?

    Gruß.

  17. #17 Tinte
    2. August 2009 um 15:59

    Hi,
    Ich fahre heute Abend weg in den Urlaub! Ich habe das Registrieren von Benutzern schon von anfang an deaktiviert.
    Da ich nun 1 Woche lang nicht da bin und sich niemand um ein Update kümmern kann sollte ich mir da Sorgen machen ?
    Oder was kann ich da machen ?

    lg

  18. #18 Markus
    2. August 2009 um 16:31

    @Andreas vorübergehender .htaccess schutz für das wp-admin verzeichniss könnte in deinem fall die lösung sein. bentzernamen und passwort gibst halt dann den jenigen die es brauchen.

  19. #19 applefan
    2. August 2009 um 16:52

    Wieso muss es immer Schlaumeier geben, die darauf hinweisen wie peinlich ein Fehler ist?
    Mensch, habe ich gar nicht gewusst. Dachte bis heute, ein Fehler ist cool und alle freuen sich darüber.
    Aber die Rettung ist ja schon da: Man gut dass man 1000ne von Euro für eine ISO-Zertifizierung ausgeben kann. Dann können keine Fehler mehr passieren. Echt klasse so eine Norm. Kaum hat man einen Wisch in der Hand und Zack!, alle Fehler im Programm weg.
    MS (und andere) haben so etwas leider auch nicht, oder? Die machen lieber coole Fehler…
    Von mir aber liebe Grüße an jottlieb, denn leider kann ich mangels Fachwissen nicht bei der Fehlerbehebung mithelfen.
    WordPress ist toll und notorische Nörgler sind doof!

  20. #20 Andreas
    2. August 2009 um 17:58

    @ Markus: Vielen Dank. Da ich das nicht jeden Tag mache – und weil es ggf. auch Anderen nützlich ist…

    • Man muss 2 Datein erzeugen: .htaccess und .htpasswd, die beide in das Admin-Verzeichnis kommen, per FTP

    • in der .htaccess steht:

    AuthType Basic
    AuthName “Passwortschutz”
    require valid-user
    AuthUserFile /home/wp-admin/.htpasswd

    • in der .htpasswd steht:

    (s. diverse Generatoren im Web).

    • Offene Frage zu Zeile 4 in der .htaccess:

    Angabe würde gelten, wenn das WP direkt im Root-Verzeichnis liegt, was zwar nicht optimal ist, aber leider oft historisch bedingt so ist… Ansonsten zusätzlich das Verzeichnis angeben, in dem WP liegt.

    Vielen Dank im voraus.
    VG

  21. #21 Robert
    2. August 2009 um 18:33

    @Olaf: Read Trac [11761-11765].

  22. #22 Andreas
    2. August 2009 um 18:51

    Nachtrag:

    Hier ist alles zum (temporären) PW-Schutz

    http://bueltge.de/wk-htaccess/116/

    Gruß

  23. #23 Martin
    2. August 2009 um 19:14

    Nur was macht man bei Wordpress MU Versionen?
    Ich hab sie erstmal komplett aus dem Web genommen … schon ärgerlich.

  24. #24 Markus
    2. August 2009 um 22:29

    @Andreas danke für deine hilfestellung hier.

  25. #25 Gucky
    3. August 2009 um 00:14

    WordPress ist toll und notorische Nörgler sind doof!

    Dem kann ich mich nur anschließen ! :mrgreen:

  26. #26 Kim
    3. August 2009 um 13:00

    @Gucky:

    Im Grunde stimme auch ich euch zu, aber: Ein bissel aufpassen und den Code testen kann auch bei einem so großen Projekt nicht schlecht sein. So gibt es bei der 2.8.2er-Version auch ein Problem beim Editieren von Kommentaren. Da verschwindet nämlich die eingetragene URL zur Homepage des Kommentar-Gebers auf nimmer wiedersehen.

    Bugfix hier: http://blog.huebel-online.de/2009/07/30/url-wird-nicht-angezeigt-beim-editieren-von-kommentaren/

  27. #27 Robert
    3. August 2009 um 19:12

    Langsam gehts wieder in großen Schritten rückwärts. Wie wärs mit zwei Updates pro Jahr, dafür aber solide, funktionierend und ohne Schnick-Schnack. Kann man ja bald als Dienstleistung anbieten: Wordpress updaten. Auslastung garantiert.

  28. #28 jottlieb
    3. August 2009 um 19:29

    @Robert:
    Eigentlich ist das ja der Fall. Pro Jahr gibt es zwei bis drei major releases.
    Allerdings ist die Welt nicht perfekt und Software per se nicht fehlerfrei. So kommt man eben nicht drum herum, pro major release ein bis zwei bugfixes anzubieten und ggf. noch einen security fix. So kommt man eben auf die “hohe” Anzahl (die nicht so hoch ist wie es einen vorkommt) von neuen Versionen.
    Sei lieber froh, dass solche Lücken sofort geschlossen werden, oder würdest du mit so einem Leck ein halbes Jahr bis zur nächsten Version warten wollen?

  29. #29 Tom
    4. August 2009 um 08:28

    Das Update war mit einem Klick erledigt. OK, Sprachdatei noch extra geladen. Wo liegt das Problem? Lieber so schnell gefixt als monatelang ein unsicheres System.



Dein Kommentar »



« zurück zur Startseite.