Neue Schwachstellen in WordPress beseitigen

IT-ManagementIT-ProjekteSicherheitSicherheitsmanagement

Zahlreiche Unternehmen setzen die Blogsoftware wegen ihrer einfachen Bedienbarkeit für Firmen-Web-Auftritte ein. Wer nicht aufpasst, hat möglicherweise bald Probleme: Mit einer neu entdeckten Schwachstelle lassen sich Privilegien ändern und Schadcode einschleusen.

Das populäre WordPress, das schon eit langem als CMS verwendet wird,   musste immer mal wieder wegen seiner Lecks gepatcht werden. Heute hat die Firma Core Security vor einem neuen Fehler gewarnt.

Weil ein admin.php-Plugin für WordPress die Zugriffsrechte nicht richtig prüfe, könne durch die Verarbeitung bestimmter URLs ausgelöst werden, dass die angemeldeten »Subscriber« (also Nutzer ohne privilegierte Rechte)  nun trotzdem Konfigurationsseiten ansehen und verändern können. Core Labs nennt dazu einige Beispiel-URLs.

Selbst das WordPress-Modul für das PHP-Intrusion-Detection-System PHP-IDS könne ausgehebelt werden, warnt Core.

Andere Schwachstellen erlauben zudem das Einschleusen von Schadcode ia Javascript.

Der Securityfirma zufolge sind WordPress 2.8 und vorherige Versionen betroffen, Bugfixes seien für die angekündigte 2.8.1-Version in Arbeit (Release Candidate noch ohne Bugfix hier). Bis diese fertig ist, empfiehlt Core, Zugriffe auf den wp-admin-ordner für andere User als den Administrator zu sperren. Dies geschehe am leichtesten durch Bearbeitung der Datei .htaccess des Apache-Web-Servers.

Übrigens: WordPress 2.9 ist bereits geplant. Ohne diese Bugs, versteht sich. (Manfred Kohlen)

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen