Wurm fixt Sicherheitslücken in Wordpress

beNi hat einen Wurm! veröffentlicht, der eine Sicherheitslücke in vermutlich allen Wordpress-Versionen (auch der aktuellen 2.2.1) schliesst.

Diese ‘etwas andere Art von Patch’ funktioniert so genial wie einfach:

Schreibt in eurem Blog einen Kommentar, der den folgenden Link beinhaltet: http://mybeni.rootzilla.de/mybeNi/

Begebt euch nun in euer Adminpanel, und klickt diesen Link von dort aus an. Durch den Rest der Prozedur werdet ihr dann (englischsprachig) geführt.

Das war’s im Grossen und Ganzen auch schon! Mehr Infos gibt’s bei Gulli oder dem Link oben (der übrigens auch rechts in den Textlinks steht).

Happy patching!

Nachtrag (03/08/07): Es gibt bei beNi einen Bugfix für den Wurm. Dieser hat in seiner bisherigen Version 3 ‘+’-Zeichen geschluckt, die man entweder manuell nachtragen, oder das nächste offizielle WP-Update abwarten kann. Der Fehler wurde erstmalig von Markus Schlichting entdeckt und erwähnt (siehe Kommentar)!

Tags: wordpress

Allgemein, Computer & Technik | KRiZZi | 1. August 2007 21:11

3 Kommentare

By Markus, 3. August 2007 @ 03:35

Hallo,
ueberpruefe unbedingt die durch den wurm veraenderten Dateien. Es ist davon auszugehen, das nciht nur die angegebenen Codestellen veraendert wurden.
Siehe
http://www.mynethome.de/2007/08/02/wp-xss-wurm-doch-nicht-soo-freundlich/
By mybeNi websecurity, 3. August 2007 @ 22:52

Hilfe die machen alle so ein ding aus den paar “+”-Zeichen. Die Bugs sind jetzt behoben bzw. total unkritisch da sie nur auftreten, wenn die link-import.php benutzt wird (hab ich persönlich noch nie gebraucht), ausserdem ein kleiner Regex-Fauxpass in options.php .

Tut mir beides echt leid, ich wollte euch nur helfen und naja, die Wordpress Patches habe und werde ich nicht ersetzen Also deswegenbaldmöglichst updates einspielen!

Lieber Gruß ein müder Benjamin
By KRiZZi, 3. August 2007 @ 23:00

Don’t worry, be happy! Du musst dich dafür nicht entschuldigen - nobody’s perfect. Hat sich doch alles wieder aufgeklärt.