Gerade eben von meinem langjährigen Netzkollegen Alexander auf eine Sicherheitslücke in WordPress 2.8.3 aufmerksam gemacht worden. So ist es jedem möglich, dass Passwort des Administrators zurück zu setzen. Zwar kann man die Lücke nicht ausnutzen sofern man nicht auf das Mailkonto des Admins Zugriff hat, doch dieser kann sich auch erst einmal nicht einloggen, ohne vorher sein neues Passwort per Mail abzufragen. Um dies bis zur nächsten Version zu beheben, öffnet eure wp-login.php und ändert in Zeile 190 den Text von if ( empty( $key ) ) in if ( empty( $key ) || is_array( $key ) ).
Betroffen sind scheinbar nur die Versionen 2.8.x. Ich weiss wie der Exploit ausgeführt wird und habe ihn erfolgreich an zwei Blogs ausprobieren können. Allerdings werde ich den Aufruf hier logischerweise nicht veröffentlichen. Den ganzen Ärger kann man sich auch sparen, sofern man seinen Daten zusätzlich per .htaccess absichert.
Nachtrag: bitte eventuell auch diesen Kommentar beachten. Ausserdem findet ihr hier den technischen Hintergrund.
Danke für die Info, aber ich denke, dass du die “wp-login.php” meinst, und nicht die “wp-admin.php”
removed
Gefixt
Danke schön!
Danke für den Tipp! Habe die Datei sofort gefixt.
Der Fix verrät eigentlich schon die Lücke :p
Ist aber mal wieder ein Bug, den man einfach nicht beim ersten mal sieht.
Danke dafür. Direkt gefixt.
Gefixt und weiter publiziert. Danke für den Hinweis.
Super, dankeschön – gleich behoben und retweetet
Behoben! vielen Dank!
Ach du warst das also bei mir. Danke =D
Vielen Dank für den Hinweis auf die Lücke! Ich habe den Fix direkt eingebaut und deinen Tweet gleich weitergereicht
Für alle interessierte,…hier mehr infos:
http://lists.grok.org.uk/piper.....70139.html
Echt toll, dass du die Lücke so schön dokumentierst. Gerade das sollte man nicht machen und wurde auch beim letzten Bug nicht gemacht siehe WPD….
Ich hoffe, ihr habt es auch dem Security Team von WP gemeldet….
@super:
jau, ist es wohl – und zudem hat auch Heise eine halbe Stunde nach meinem Text darüber berichtet.
Na dann gibt es wohl in ein paar Tagen wieder ne neue Version von WordPress … da kommt man ja nicht mehr zum bloggen bei den ganzen Updates
Danke für den Hinweis, fixed.
Ziemlich derber, simpler Fehler für ein offizielles Release.
Danke für den Hinweis und die Fix.
Schön und gut, aber der Fix reicht nicht wirklich aus und wurde auch schon wieder entfernt, siehe Changeset 11799. In der Timeline gibt es weitere Änderungen, siehe Changeset 18000 – 18004.
Dies ist somit nur ein oberflächlicher Fix und sollte kein Grund sein, um nicht auf das nächste Sicherheitsrelease zu verzichten.
Könnte man eventuell hinzufügen.
Schönen Gruß.
Danke!
So schwer ist die Sicherheitslücke gar nicht. o.o
Sie ist nur einfach auszunutzen…aber mal ehrlich, viel kann der Angreifer nicht machen…
was is das denn fürn scheiß?
du erklärst nicht WARUM es da ein fehler gibt, aber “jaja passt schon, nur das da ändern”
du weißt schon, dass eine opensource entwicklung davon lebt, dass wenn was gefunden wird, auch alles dadrum dokumentiert wird?
ich persönlich denke mir ich weiß warum, bin mir aber net komplett sicher aber hier solls ja auch nicht technisch werden.
wie vielen gutmenschen könntest du auf diese art, nicht was für scheiß code einschleusen?? einfach nur weil von coding kein dunst haben und da alles reinkopieren würden! DAS ist die größte lücke am system. der user!
@ed:
WARUM es den Fehler gibt, weiss ich nicht, schließlich bin ich KEIN Coder. Wohl weiss ich aber, dass hier viele Blogger mitlesen, die den Scheiss erst einmal absichern wollen. Darum geht es. Des Weiteren weiss das WP-Team um diese Lücke. Aber deswegen gibt es hier auch keine Anleitung, wie man das ausführen kann…
Danke für die Info! Hab meine Blogs direkt gefixt.
Ich habe bei mir mal versucht, den Fehler etwas zu erläutern. Danke für den Hinweis, caschy.
Danke, ich trage es mal nach
Publiziert wurde das ganze von http://g-laurent.blogspot.com/.....reset.html.
Irgendwie ist die 2.8er Version von WordPress besch…eiden
Das funktioniert aber nur, wenn man gleichzeitig den/einen Benutzernamen des Admins kennt… richtig?
Und wer unter WordPress noch “admin” verwendet… na ja…
Ok. Welche Änderungen müssen den nun durchgeführt werden? Beim Anschauen der TimeLine entsteht lediglich Verwirrung.
Die Änderung bzgl. is_Array scheint nicht korrekt zu sein. Dort wird bereits eine Änderung, welche statt is_array !is_String nutzt.
http://core.trac.wordpress.org/changeset/11799
Außerdem sind noch weitere Änderungen unter dem Thema “Pass user login when resetting passwords. “
@Marc
Falsch, das funktioniert immer.
Man führe sich bitte die Erklärung von Filzo zu Gemüte.
Die Datenbankabfrage nach “SELECT * FROM $wpdb->users WHERE user_activation_key = %s” liefert dann alle Benutzer aus wp_users zurück, deren Feld user_activation_key = ” ist.
Da dabei automatisch nach dem Primärschlüssel (ID) sortiert wird und für gewöhnlich der Admin die ID = 1 hat, wird eben genau diese Zeile zurückgeliefert.
Gruß, Perry
30 Trackback(s)
jkwmedia (Justin K.)
Wordpress – Sicherheitslücke « schwobeseggl.de
WordPress 2.8.3: Gefährliche Sicherheitslücke | Trails & Bikes
Wordpress Sicherheitlücke: Exploit resettet Admin-Passwort - Administrator, Blog, Reset, Hack, Bugfix, Login - blogwache.de
Neuer Exploit in Wordpress 2.8.x
Wordpress: Sicherheitslücke in 2.8.3 — filzo.de
splash ;)
WordPress 2.8.x Password Reset-Exploit « hep-cat.de
Schwachstelle in WordPress: Reset des Admin-Passworts » Peruns Weblog
Sicherheitslücke in WordPress 2.8.X – Admin password reset exploit | Perrys Blog
WP 2.8.x Admin reset exploit - Lighty mod_auth | Total Verfriemelt
Wordpress 2.8.3 Admin password reset – schwere Sicherheitslücke! | marcO's_br4inh4ck
Warum Wordpress ganz schön nervig ist | TechBanger.de
Wordpress 2.8.x – Sicherheitslücke - Wordpress - Nicht spurlos
Administrationspasswort können Dritte zurücksetzen | Webseiten-Infos.de
Urgixgax Blog » WordPress 2.8.3 – Sicherheitsproblem – Unfreiwillig zurückgesetztes Administratorpasswort!
Big2k.net :: Aktion100 reloaded » Blog Archive » WordPress 2.8.3: schwere Sicherheitslücke (Admin password reset exploit)
WordPress 2.8.4 schließt Sicherheitslücke | Telagon Sichelputzer
WordPress 2.8.4: Und wieder darf gezittert werden | Das Meinungs-Blog
Wordpress 2.8.4 Update schließt Sicherheitslücke | Der Medien Blog
Kurzmeldung: Wordpress 2.8.4 veröffentlicht | Tief im See
Wordpress 2.8.3: Schwere Sicherheitslücke - Familie Celik - News - Programmierung - Tutorials - MetinCelik.de
Wordpress 2.8.4. erschienen | Medienflackern
Lücke in WordPress ermöglicht Aussperren des Admins » WordPress, Seite, Admin, Mailadresse, Sicherheitslücke, Betreiber » Suleitec Infoblog
WordPress 2.8.4 veröffentlicht | Roman Harcke
schon wieder ein neues wp-update? – Andreas Welt
Wordpress 2.8.4 veröffentlicht
WordPress 2.8.4 | Tobbis Blog
WP 2.8.x Admin reset exploit – Lighty mod_auth | Total Verfriemelt
Yawoo – Das Blog Verzeichnis für Deutschland » Blog Archive » WordPress 2.8.3: Admin password reset exploit – schwere Sicherheitslücke
Deine Meinung ist uns wichtig...