Durch eine Sicherheitslücke in dem Blog-System WordPress ist es registrierten Nutzern unter bestimmten Umständen möglich, beliebigen Schadcode mit Rechten des Webserver-Prozesses ausführen zu lassen. Außerdem können Kommentar- und Blog-Schreiber aufgrund eines Programmierfehlers in der Datei wp-includes/vars.php ihre IP-Adresse fälschen. Das auf der Sicherheits-Mailingliste Bugtraq veröffentlichte Advisory zu den beiden Schwachstellen hat die Form eines lauffähigen Exploits, mit dem Angreifer auf einem verwundbaren System eine Hintertür installieren können, die beliebige Shell-Befehle ausführt.
Wer also unter Options -> General den Haken bei „Membership: Anyone can register“ gesetzt hat, einfach deaktivieren und sowieso auf das Wp-Update warten. Wenn was dran ist, werden die Jungs sicherlich schnell reagieren.
Neue Stellenangebote
Growth Marketing Manager:in – Social Media GOhiring GmbH in Homeoffice |
||
Mitarbeiter*in (m/w/d) für Social Media, Öffentlichkeitsarbeit und Städtepartnerschaft (m/w/d) meinestadt.de in Sachsenheim |
||
Content Creator / Social Media / Marketing (m/w/d) Delitzscher Schokoladenfabrik GmbH in Delitzsch |
via Mail
Autoren-Registrierung vorübergehend abgeschaltet
Wie Heise berichtet, ist in der auch von uns verwendeten Blog-Software WordPress eine Sicherheitslücke aufgetaucht, die Angreifern die Ausführung von “Schadcode” ermöglicht. Um kein unnötiges Risiko einzugehen, bleibt auf EpiBlog.de die…
Sicherheitslücke in WordPress
Gefunden habe ich es im Basic Thinking Blog – es gibt anscheinend eine Sicherheitslücke in WordPress.
Bei heise security werden Details dazu veröffentlicht:
“Einen Patch gibt es bislang offenbar noch nicht. Bis zu dessen Erscheinen sichert das …
[…] Robert ergänzt unter http://www.basicthinking.de/blog: Wer also unter Options -> General den Haken bei „Membership: Anyone can register“? gesetzt hat, einfach deaktivieren und sowieso auf das Wp-Update warten. […]
[…] Wer also in Zukunft sich als legitimer Kommentator auch einen Account bei uns im System hinterlegen möchte, muss sich ab sofort bei mir persönlich melden. Sicher ist sicher 😉 [via Basicthinking, Hirnrinde] Keywords/Tags: Bug, Problem, Sicherheit, WordPress […]
[…] BeiRobertund Heise gibt´s ausführliche Infos dazu. Don´t Panic! Ich sehe das Problem erstmal gelassen und warte auf den WP-Bugfix… […]