Sonstiges

WordPress 2.06 unsicher, 2.07 unterwegs

na klasse… siehe Punctilio

einzige Lösung zur Zeit: in der php.ini muss die Variable register_globals auf OFF stehen! Es gibt allerdings Anwendungen, die brauchen das auf ON. Nicht auch Drupal? Egal, auf jeden Falld daran denken, bevor man nun umstellt und am Ende geht ein Web-Programm nicht mehr.

Update bei Heise (danke ad!): Laut Esser [ein PHP Experte] liegt der Fehler, den der neue Exploit ausnutzt, nicht bei WordPress selbst, da es Sicherheitsabfragen gegen die eingesetzte Einbruchstechnik enthält. Laufe ein Server allerdings mit einer PHP-Version, die noch den Bug in zend_hash_del_key_or_index aufweist, lasse sich der implementierte Schutz aushebeln, so Esser. Betroffen von dem Fehler sind PHP-Versionen vor 4.4.3 beziehungsweise 5.1.4, sofern sie nicht gefixt wurden. In aktuellen Linux-Distributionen ist die Lücke nicht enthalten. Auch in der unter Debian-Stable eingesetzten Version 4.3.10 ist die Schwachstelle bereits seit August behoben.


Vernetze dich mit uns!

Like uns auf Facebook oder folge uns bei Twitter


Über den Autor

Robert Basic

Robert Basic ist Namensgeber und Gründer von BASIC thinking und hat die Seite 2009 abgegeben. Von 2004 bis 2009 hat er über 12.000 Artikel hier veröffentlicht.

10 Kommentare

Kommentieren