« zurück zur Startseite.
11.August, 2009

Unfreiwillig zurückgesetztes Administratorpasswort

Mit der 2.8-Serie haben die Entwickler kein Glück gehabt, erst vor kurzem wurde ein Sicherheitsrelease veröffentlicht und jetzt ist schon wieder eine weitere, allerdings nicht schwerwiegende, Lücke bekannt geworden.

Mit dieser Lücke ist es möglich, das Administratorpasswort unbefugt zurück zu setzten.

Damit kann sich der Administrator nicht mehr mit seinem alten Passwort einloggen. Das ist zwar nicht direkt sicherheitsrelevant, aber denoch sehr ärgerlich. Immerhin wird das neue Passwort dem Administrator automatisch per E-Mail zugesandt.

NACHTRAG 1: Es gibt einen Fix für diese Lücke, basierend auf WordPress 2.8.3. Einfach diese diese Datei herunterladen und mit der enthaltenen wp-login.php die existierende wp-login.php im Wurzelverzeichnis von WordPress ersetzen.

NACHTRAG 2: In diesem Zusammenhang unbedingt lesenswert ist Sergejs Beitrag: „Sicherheit in WordPress: 10 Schritte zum Schutz des Admin-Bereichs“.


Olaf

Dieser Beitrag wurde am 11. August 2009 um 12:42 von Olaf in der Rubrik News abgelegt. Dieser Beitrag wurde 6932 mal aufgerufen. Neue Kommentare via RSS 2.0 RSS 2.0 - Trackback Trackback URI

23 Trackbacks

  1. nur von dieser Welt! am 15. August 2009
  2. Lücke in WordPress ermöglicht Aussperren des Admins » WordPress, Mailadresse, Admin, Seite, Deutschland, Stelle » Suleitec Infoblog am 11. August 2009
  3. Offene Sicherheitsl am 11. August 2009
  4. Sicherheitslücke in Wordpress 2.8.3 | gedankenströme am 11. August 2009
  5. Urgixgax Blog » WordPress 2.8.3 – Sicherheitsproblem – Unfreiwillig zurückgesetztes Administratorpasswort! am 11. August 2009
  6. Lücke in WordPress 2.8.3 » Der Multimediablog am 11. August 2009
  7. Wordpress 2.8 weiter im Unglück - IT-Pulse am 11. August 2009
  8. WordPress 2.8.4 DE-Edition und Upgradepaket veröffentlicht am 13. August 2009
  9. Unfreiwillig zurückgesetztes Administratorpasswort - Elke Burmester am 12. August 2009
  10. Thiz blog waz hacked by 1337 p3rs0n | Kim Huebel - Online am 13. August 2009
  11. Administrationspasswort können Dritte zurücksetzen | Webseiten-Infos.de am 12. August 2009
  12. Green Mystery » Blog Archive » Bugfix/Shortnews der Themenblog/ Your daily Chaos! am 12. August 2009
  13. Wordpress 2.8.4 am 12. August 2009
  14. USmith Blog am 12. August 2009
  15. Womblog [Worte oder mehr] am 12. August 2009
  16. WordPress 2.8.4 erschienen » News » Das Open Source Portal am 12. August 2009
  17. Schon wieder eine Eilmeldung: Wordpress 2.8.4 UPDATE | // TBDTTT am 12. August 2009
  18. onurb.net » Blog Archive » Kritisches Update aller verwalteten Blogseiten am 12. August 2009
  19. WordPress MU 2.8.4 - Version 284, Eine Aktualisierung ist dringend empfohlen, Wie immer gilt Vor dem Update ein vollständiges Backup von Datenbank und Dateien, Eine, Aktualisierung, WordPress - WordPress MU Deutschland am 12. August 2009
  20. Bücherwurms Blog-Welt » [WordPress] Update 2.8.4 de_DE am 12. August 2009
  21. «Profan... den Rest kannst du dir sparen.» :: Schon wieder eine Eilmeldung: Wordpress 2.8.4 UPDATE am 11. September 2009
  22. Neues Admin-Passwort? | (B)Logbuch über Online-Marketing, Strategie und Linkaufbau am 19. September 2009
  23. Sicherheitslücke in 2.8.3 - Admin-Passwort - kann behoben werden | Webblüten am 21. September 2009

17 Kommentare | Kommentar schreiben

  1. #1 Mac
    11. August 2009 um 13:10

    Aber man kann den Exploit fixen: http://stadt-bremerhaven.de/wordpress-2-8-3-admin-password-reset-exploit-schwere-sicherheitsluecke/

  2. #2 Sergej Müller
    11. August 2009 um 13:52

    Aber ist die Sperrung der Login-Seite (wp-login.php) via .htraccess nicht sowieso der einfachste und zuverlässigste Fix? Eigentlich gehört dieser Weg der Absicherung sowieso zu jeder WordPress-Installation.

    Hatte ich mal hier zusammengefasst, Tipp #7 ist der, von dem ich spreche: http://playground.ebiene.de/954/adminbereich-in-wordpress-schuetzen/

  3. #3 ocean90
    11. August 2009 um 14:03

    @Mac
    Wie du meinem Kommentar dort entnehmen kannst, ist das aber nicht grade der beste Weg.

    Einfach auf das offizielle Update warten und/oder Sergejs Tipps beherzigen.

  4. #4 ocean90
    11. August 2009 um 14:19

    @Olaf
    Grad gesehen, dass du einen Fix anbietest, aber einen, der schon wieder revidiert wurde, warum nicht direkt den wohl endgültigen Fix?

  5. #5 Olaf
    11. August 2009 um 15:02

    @Sergej: Habe den Beitrag direkt mal verlinkt, Danke für den Hinweis!

    @ocean90: Danke für den Tip, habs korrigiert.

  6. #6 Paul
    11. August 2009 um 17:55

    Naja, wirklich schlimm ist die Lücke ja nicht.

  7. #7 Hoshpak
    11. August 2009 um 22:22

    Es scheint schon Witzbolde zu geben, die die Lücke aktiv ausnutzen. Jedenfalls hatte ich heute unerwarteterweise ein neues Admin-Passwort im Postfach. Zwar nicht kritisch, aber absolut nervig.

  8. #8 a.m.SASH
    12. August 2009 um 07:35

    WP 2.8.4 ist da!
    http://wordpress.org/development/2009/08/2-8-4-security-release/

  9. #9 Markus
    12. August 2009 um 09:57

    wp 2.8.4 ist da.

  10. #10 Tobi
    12. August 2009 um 10:10

    Gibt es hier demnächst ein fix f. wp 2.8.4 ??

  11. #11 Robert
    12. August 2009 um 10:14

    Auch wenn die Errormessages beim Login unterdrückt werden gibt es Problem. Bei einem Loginversuch bleiben vorh. Namen im Feld stehen und nicht vorh. werden wieder gelöscht. So kann man super einfach abklopfen ob z.B. ‘admin’ noch vorh. ist.
    Weiß jemand wie sich das Verhalten abstellen lässt?

  12. #12 ocean90
    12. August 2009 um 10:27

    @Robert
    Das liegt aber wohl eher an deinem Browser.

  13. #13 Eike
    12. August 2009 um 13:32

    Kann es sein das wenn man die oben stehende wp-login.php “installiert” hat, das update auf 2.8.4 nicht angezeigt wird?
    Bei mir ist das der Fall

  14. #14 ocean90
    12. August 2009 um 14:12

    @Eike
    Bist du mal auf den Unterpunkt Autoupdate gegangen? Bei mir wurde es dann angezeigt.

  15. #15 Robert
    12. August 2009 um 15:44

    @ocean90
    Das Verhalten kann nicht am Browser liegen, da ja auch die modulseitigen Errormessages explizit auf den Eingabefehler hinweisen. Benutzer oder Passwort falsch. Ist mit jedem Browser reproduzierbar. Hab IE6, 7, 8, FireFox 3.5.2, Safari 3.2.1 in seperaten VMs getestet um Keksprobleme zu umgehen. Wenn ich den Benutzername vom Loginmodul ‘geschenkt’ bekomme brauch ich ja nur noch da PW raten. Bei ‘admin’ brauch ich bei ‘ner SQL-Injection nur User-ID 1 angreifen. Wird einem ja sehr leicht gemacht.

    @ all
    Jetzt die Frage nochmal: Wie kann man diese Lücke fixen? Will nicht den ganzen Code durch wühlen. Das Verhalten muss doch bereits aufgefallen sein.
    Thx @ all

  16. #16 ocean90
    12. August 2009 um 17:18

    Mhh, ok hatte dich falsch verstanden.
    Jetzt weiß ich was du meinst. Ich glaub da solltest du einfach mal Frank Bültge direkt fragen, denn das wäre ja auch was für Secure WP.

  17. #17 Robert
    13. August 2009 um 16:26

    @ocean90
    Jep, THX, Hast recht. Ich hab Ihn mal angetriggert, da ich nichts über diese Pseudokomfortfuntion gefunden habe.



Dein Kommentar »



« zurück zur Startseite.