WordPress 2.8.3: Admin password reset exploit – schwere Sicherheitslücke

August 11, 2009 Kategorie: Internet, WordPress

Teilen

wordpressbox80x80pixelGerade eben von meinem langjährigen Netzkollegen Alexander auf eine Sicherheitslücke in WordPress 2.8.3 aufmerksam gemacht worden. So ist es jedem möglich, dass Passwort des Administrators zurück zu setzen. Zwar kann man die Lücke nicht ausnutzen sofern man nicht auf das Mailkonto des Admins Zugriff hat, doch dieser kann sich auch erst einmal nicht einloggen, ohne vorher sein neues Passwort per Mail abzufragen. Um dies bis zur nächsten Version zu beheben, öffnet eure wp-login.php und ändert in Zeile 190 den Text von if ( empty( $key ) ) in if ( empty( $key ) || is_array( $key ) ).

Changeset 11798 – WordPress Trac

Betroffen sind scheinbar nur die Versionen 2.8.x. Ich weiss wie der Exploit ausgeführt wird und habe ihn erfolgreich an zwei Blogs ausprobieren können. Allerdings werde ich den Aufruf hier logischerweise nicht veröffentlichen. Den ganzen Ärger kann man sich auch sparen, sofern man seinen Daten zusätzlich per .htaccess absichert.

Nachtrag: bitte eventuell auch diesen Kommentar beachten. Ausserdem findet ihr hier den technischen Hintergrund.

Ähnliche Beiträge:

  1. WordPress Admin Bar – die ultimative Adminstration
  2. WordPress sicherer machen – ohne Plugins
  3. Warnung vor chCounter – Sicherheitslücke
  4. WordPress: schöneres Dashboard mit dem Fluency Admin
  5. Firefox: Sicherheitslücke stiehlt History

Trackbackadresse dieses Beitrags


    74 Kommentare zu “WordPress 2.8.3: Admin password reset exploit – schwere Sicherheitslücke”

  1. Piets sagt

    Danke für die Info, aber ich denke, dass du die “wp-login.php” meinst, und nicht die “wp-admin.php”

    Kommentar am 11. August 2009 um 09:13 geschrieben.


  2. xaitax sagt

    removed

    Kommentar am 11. August 2009 um 09:17 geschrieben.


  3. Gilly (twitter @gillyberlin) sagt

    Gefixt :)

    Kommentar am 11. August 2009 um 09:32 geschrieben.


  4. Jan sagt

    Danke schön!

    Kommentar am 11. August 2009 um 09:36 geschrieben.


  5. Luigi (twitter @hartgekocht) sagt

    Danke für den Tipp! Habe die Datei sofort gefixt.

    Kommentar am 11. August 2009 um 09:37 geschrieben.


  6. Sascha (twitter @sn0opy) sagt

    Der Fix verrät eigentlich schon die Lücke :p

    Ist aber mal wieder ein Bug, den man einfach nicht beim ersten mal sieht.

    Kommentar am 11. August 2009 um 09:38 geschrieben.


  7. Der Domme sagt

    Danke dafür. Direkt gefixt.

    Kommentar am 11. August 2009 um 09:38 geschrieben.


  8. MTBTier sagt

    Gefixt und weiter publiziert. Danke für den Hinweis.

    Kommentar am 11. August 2009 um 09:40 geschrieben.


  9. Fenja sagt

    Super, dankeschön – gleich behoben und retweetet ;)

    Kommentar am 11. August 2009 um 09:54 geschrieben.


  10. Bjoern (twitter @buerstinghaus) sagt

    Behoben! vielen Dank!

    Kommentar am 11. August 2009 um 09:54 geschrieben.


  11. Tim (twitter @bigtimDO) sagt

    Ach du warst das also bei mir. Danke =D

    Kommentar am 11. August 2009 um 09:58 geschrieben.


  12. Michael Bornkessel sagt

    Vielen Dank für den Hinweis auf die Lücke! Ich habe den Fix direkt eingebaut und deinen Tweet gleich weitergereicht ;-)

    Kommentar am 11. August 2009 um 10:04 geschrieben.


  13. tim_tom sagt

    Für alle interessierte,…hier mehr infos:
    http://lists.grok.org.uk/piper.....70139.html

    Kommentar am 11. August 2009 um 10:07 geschrieben.


  14. super sagt

    Echt toll, dass du die Lücke so schön dokumentierst. Gerade das sollte man nicht machen und wurde auch beim letzten Bug nicht gemacht siehe WPD….

    Ich hoffe, ihr habt es auch dem Security Team von WP gemeldet….

    Kommentar am 11. August 2009 um 10:09 geschrieben.


  15. caschy (twitter @caschy) sagt

    @super:

    jau, ist es wohl – und zudem hat auch Heise eine halbe Stunde nach meinem Text darüber berichtet.

    Kommentar am 11. August 2009 um 10:10 geschrieben.


  16. MBDealer sagt

    Na dann gibt es wohl in ein paar Tagen wieder ne neue Version von Wordpress … da kommt man ja nicht mehr zum bloggen bei den ganzen Updates ;)

    Kommentar am 11. August 2009 um 10:35 geschrieben.


  17. Hannes Schurig sagt

    Danke für den Hinweis, fixed.
    Ziemlich derber, simpler Fehler für ein offizielles Release.

    Kommentar am 11. August 2009 um 10:41 geschrieben.


  18. Gerrit (twitter @gerriten) sagt

    Danke für den Hinweis und die Fix.

    Kommentar am 11. August 2009 um 10:47 geschrieben.


  19. ocean90 sagt

    Schön und gut, aber der Fix reicht nicht wirklich aus und wurde auch schon wieder entfernt, siehe Changeset 11799. In der Timeline gibt es weitere Änderungen, siehe Changeset 18000 – 18004.

    Dies ist somit nur ein oberflächlicher Fix und sollte kein Grund sein, um nicht auf das nächste Sicherheitsrelease zu verzichten.

    Könnte man eventuell hinzufügen.
    Schönen Gruß.

    Kommentar am 11. August 2009 um 11:07 geschrieben.


  20. Adrian sagt

    Danke!

    Kommentar am 11. August 2009 um 11:14 geschrieben.


  21. Freakazoid sagt

    So schwer ist die Sicherheitslücke gar nicht. o.o
    Sie ist nur einfach auszunutzen…aber mal ehrlich, viel kann der Angreifer nicht machen…

    Kommentar am 11. August 2009 um 11:23 geschrieben.


  22. Ed sagt

    was is das denn fürn scheiß?
    du erklärst nicht WARUM es da ein fehler gibt, aber “jaja passt schon, nur das da ändern”

    du weißt schon, dass eine opensource entwicklung davon lebt, dass wenn was gefunden wird, auch alles dadrum dokumentiert wird?

    ich persönlich denke mir ich weiß warum, bin mir aber net komplett sicher aber hier solls ja auch nicht technisch werden.
    wie vielen gutmenschen könntest du auf diese art, nicht was für scheiß code einschleusen?? einfach nur weil von coding kein dunst haben und da alles reinkopieren würden! DAS ist die größte lücke am system. der user!

    Kommentar am 11. August 2009 um 11:39 geschrieben.


  23. caschy (twitter @caschy) sagt

    @ed:
    WARUM es den Fehler gibt, weiss ich nicht, schließlich bin ich KEIN Coder. Wohl weiss ich aber, dass hier viele Blogger mitlesen, die den Scheiss erst einmal absichern wollen. Darum geht es. Des Weiteren weiss das WP-Team um diese Lücke. Aber deswegen gibt es hier auch keine Anleitung, wie man das ausführen kann…

    Kommentar am 11. August 2009 um 11:42 geschrieben.


  24. Der geilste Typ sagt

    Danke für die Info! Hab meine Blogs direkt gefixt.

    Kommentar am 11. August 2009 um 12:05 geschrieben.


  25. Filzo sagt

    Ich habe bei mir mal versucht, den Fehler etwas zu erläutern. Danke für den Hinweis, caschy.

    Kommentar am 11. August 2009 um 12:15 geschrieben.


  26. caschy (twitter @caschy) sagt

    Danke, ich trage es mal nach :)

    Kommentar am 11. August 2009 um 12:18 geschrieben.


  27. No-Trace sagt

    Publiziert wurde das ganze von http://g-laurent.blogspot.com/.....reset.html.

    Irgendwie ist die 2.8er Version von Wordpress besch…eiden

    Kommentar am 11. August 2009 um 12:38 geschrieben.


  28. Marc sagt

    Das funktioniert aber nur, wenn man gleichzeitig den/einen Benutzernamen des Admins kennt… richtig?
    Und wer unter Wordpress noch “admin” verwendet… na ja…

    Kommentar am 11. August 2009 um 12:48 geschrieben.


  29. Gerrit (twitter @gerriten) sagt

    Ok. Welche Änderungen müssen den nun durchgeführt werden? Beim Anschauen der TimeLine entsteht lediglich Verwirrung.

    Die Änderung bzgl. is_Array scheint nicht korrekt zu sein. Dort wird bereits eine Änderung, welche statt is_array !is_String nutzt.

    http://core.trac.wordpress.org/changeset/11799

    Außerdem sind noch weitere Änderungen unter dem Thema “Pass user login when resetting passwords. “

    Kommentar am 11. August 2009 um 12:49 geschrieben.


  30. Perry sagt

    @Marc

    Falsch, das funktioniert immer.
    Man führe sich bitte die Erklärung von Filzo zu Gemüte.
    Die Datenbankabfrage nach “SELECT * FROM $wpdb->users WHERE user_activation_key = %s” liefert dann alle Benutzer aus wp_users zurück, deren Feld user_activation_key = ” ist.
    Da dabei automatisch nach dem Primärschlüssel (ID) sortiert wird und für gewöhnlich der Admin die ID = 1 hat, wird eben genau diese Zeile zurückgeliefert.

    Gruß, Perry

    Kommentar am 11. August 2009 um 13:15 geschrieben.


  31. Perun (twitter @vlad_perun) sagt

    @Marc,

    Das funktioniert aber nur, wenn man gleichzeitig den/einen Benutzernamen des Admins kennt… richtig?
    Und wer unter Wordpress noch “admin” verwendet… na ja…

    es sind auch Leute betroffen, die schon seit Jahren admin als Login nicht mehr verwenden. So weit ich die Lücke verstanden habe, muss man den Nutzernamen nicht kennen.

    Kommentar am 11. August 2009 um 13:28 geschrieben.


  32. A.J. sagt

    Hi Carsten,
    sehe ich das richtig, dass eine portable WordPress-Version kein Sinn macht, weil die auf den Server kommt? Ich kenne mich da nicht so aus.

    Kommentar am 11. August 2009 um 13:35 geschrieben.


  33. caschy (twitter @caschy) sagt

    Es sei denn, du hast Vollzugriff auf deinen Windows-Server ;)

    Kommentar am 11. August 2009 um 13:39 geschrieben.


  34. Nippelnuckler sagt

    danke, gefixed

    Kommentar am 11. August 2009 um 13:42 geschrieben.


  35. Andre sagt

    Danke, direkt erledigt!

    Kommentar am 11. August 2009 um 13:54 geschrieben.


  36. Oli sagt

    Danke für den Hinweis. Ist Direkt gefixt. Freue mich aber schon auf Version 2.8.4 ;) .

    MfG Oli

    Kommentar am 11. August 2009 um 14:10 geschrieben.


  37. ocean90 sagt

    @Gerrit
    Der endgültige Fix ist wohl Changeset 11804
    Aus diesem Grund einfach den Inhalt dieser Datei (Quelle) mit dem alten Inhalt der wp-login.php ersetzen. Dann solltest du wieder auf der sicheren Seite sein.

    Gruß

    Kommentar am 11. August 2009 um 14:23 geschrieben.


  38. Pati sagt

    Super…Danke Schön!…..Meine Fragen haben sich nur durch das lesen beantwortet!

    Kommentar am 11. August 2009 um 16:26 geschrieben.


  39. Paul (twitter @Le_Mag) sagt

    Laurent Gaffié hat die Schwachstelle gefunden. Ja, ich hab es gerade auch mal ausprobiert. =)

    Kommentar am 11. August 2009 um 17:13 geschrieben.


  40. carsten|braun sagt

    Vielen Dank für den Hinweis!
    Habe die Datei sofort geändert. ;-)

    Kommentar am 11. August 2009 um 18:53 geschrieben.


  41. Beta sagt

    @Perry

    Falsch, das funktioniert immer.
    Man führe sich bitte die Erklärung von Filzo zu Gemüte.
    Die Datenbankabfrage nach “SELECT * FROM $wpdb->users WHERE user_activation_key = %s” liefert dann alle Benutzer aus wp_users zurück, deren Feld user_activation_key = ” ist.
    Da dabei automatisch nach dem Primärschlüssel (ID) sortiert wird und für gewöhnlich der Admin die ID = 1 hat, wird eben genau diese Zeile zurückgeliefert.

    Gruß, Perry

    Mal im ernst, wer lässt die Adminid nach der Installation bei 1 das erste was ich Tat war die ID zu ändern und nein nicht auf 2 ;-)

    mfg

    Kommentar am 11. August 2009 um 19:06 geschrieben.


  42. Defender sagt

    “Allerdings werde ich den Aufruf hier logischerweise nicht veröffentlichen.”

    Geheimnis Geheimnis … das kriegt man in ca. 5 sec raus, wenn man google bedienen kann …

    Kommentar am 11. August 2009 um 22:44 geschrieben.


  43. A.J. sagt

    WordPress 2.8.4 ist da. Download. Stay safe. :)

    Kommentar am 12. August 2009 um 10:54 geschrieben.


  44. caschy (twitter @caschy) sagt

    Na, wenn schon das Paket von 2.8.3 auf 2.8.4:
    http://is.gd/2ddoQ

    Kommentar am 12. August 2009 um 10:56 geschrieben.


  45. Andreas sagt

    Danke für den Hinweis. Super!

    Kommentar am 16. August 2009 um 01:13 geschrieben.



  1. 29 Trackback(s)

  2. Aug 11, 2009: jkwmedia (Justin K.)
  3. Aug 11, 2009: Wordpress – Sicherheitslücke « schwobeseggl.de
  4. Aug 11, 2009: WordPress 2.8.3: Gefährliche Sicherheitslücke | Trails & Bikes
  5. Aug 11, 2009: Wordpress Sicherheitlücke: Exploit resettet Admin-Passwort - Administrator, Blog, Reset, Hack, Bugfix, Login - blogwache.de
  6. Aug 11, 2009: Neuer Exploit in Wordpress 2.8.x
  7. Aug 11, 2009: Wordpress: Sicherheitslücke in 2.8.3 — filzo.de
  8. Aug 11, 2009: splash ;)
  9. Aug 11, 2009: WordPress 2.8.x Password Reset-Exploit « hep-cat.de
  10. Aug 11, 2009: Schwachstelle in WordPress: Reset des Admin-Passworts » Peruns Weblog
  11. Aug 11, 2009: Sicherheitslücke in WordPress 2.8.X – Admin password reset exploit | Perrys Blog
  12. Aug 11, 2009: WP 2.8.x Admin reset exploit - Lighty mod_auth | Total Verfriemelt
  13. Aug 11, 2009: Wordpress 2.8.3 Admin password reset – schwere Sicherheitslücke! | marcO's_br4inh4ck
  14. Aug 11, 2009: Warum Wordpress ganz schön nervig ist | TechBanger.de
  15. Aug 11, 2009: Wordpress 2.8.x – Sicherheitslücke - Wordpress - Nicht spurlos
  16. Aug 11, 2009: Administrationspasswort können Dritte zurücksetzen | Webseiten-Infos.de
  17. Aug 11, 2009: Urgixgax Blog » WordPress 2.8.3 – Sicherheitsproblem – Unfreiwillig zurückgesetztes Administratorpasswort!
  18. Aug 12, 2009: Big2k.net :: Aktion100 reloaded » Blog Archive » WordPress 2.8.3: schwere Sicherheitslücke (Admin password reset exploit)
  19. Aug 12, 2009: WordPress 2.8.4 schließt Sicherheitslücke | Telagon Sichelputzer
  20. Aug 12, 2009: WordPress 2.8.4: Und wieder darf gezittert werden | Das Meinungs-Blog
  21. Aug 12, 2009: Wordpress 2.8.4 Update schließt Sicherheitslücke | Der Medien Blog
  22. Aug 12, 2009: Kurzmeldung: Wordpress 2.8.4 veröffentlicht | Tief im See
  23. Aug 12, 2009: Wordpress 2.8.3: Schwere Sicherheitslücke - Familie Celik - News - Programmierung - Tutorials - MetinCelik.de
  24. Aug 12, 2009: Wordpress 2.8.4. erschienen | Medienflackern
  25. Aug 12, 2009: Lücke in WordPress ermöglicht Aussperren des Admins » WordPress, Seite, Admin, Mailadresse, Sicherheitslücke, Betreiber » Suleitec Infoblog
  26. Aug 12, 2009: WordPress 2.8.4 veröffentlicht | Roman Harcke
  27. Aug 12, 2009: schon wieder ein neues wp-update? – Andreas Welt
  28. Aug 12, 2009: Wordpress 2.8.4 veröffentlicht
  29. Aug 12, 2009: WordPress 2.8.4 | Tobbis Blog
  30. Okt 15, 2009: WP 2.8.x Admin reset exploit – Lighty mod_auth | Total Verfriemelt

Gib deine Meinung ab! Sollte nach dem Abschicken dein Kommentar nicht erscheinen, so wurde dieser als Spam erkannt. Doch keine Sorge, ich überprüfe mehrmals täglich und schalte deinen Kommentar dann frei. Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Wer sein Bild in den Kommentaren sehen will, der sollte sich bei Gravatar registrieren.





© 2005-2010 - Caschys Blog. Gemacht mit viel Liebe & Kaffee.