WordPress 2.8.3: Admin password reset exploit – schwere Sicherheitslücke

wordpressbox80x80pixelGerade eben von meinem langjährigen Netzkollegen Alexander auf eine Sicherheitslücke in WordPress 2.8.3 aufmerksam gemacht worden. So ist es jedem möglich, dass Passwort des Administrators zurück zu setzen. Zwar kann man die Lücke nicht ausnutzen sofern man nicht auf das Mailkonto des Admins Zugriff hat, doch dieser kann sich auch erst einmal nicht einloggen, ohne vorher sein neues Passwort per Mail abzufragen. Um dies bis zur nächsten Version zu beheben, öffnet eure wp-login.php und ändert in Zeile 190 den Text von if ( empty( $key ) ) in if ( empty( $key ) || is_array( $key ) ).

Betroffen sind scheinbar nur die Versionen 2.8.x. Ich weiss wie der Exploit ausgeführt wird und habe ihn erfolgreich an zwei Blogs ausprobieren können. Allerdings werde ich den Aufruf hier logischerweise nicht veröffentlichen. Den ganzen Ärger kann man sich auch sparen, sofern man seinen Daten zusätzlich per .htaccess absichert.

Nachtrag: bitte eventuell auch diesen Kommentar beachten. Ausserdem findet ihr hier den technischen Hintergrund.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

caschy

Hallo, ich bin Carsten! Ich bin gelernter IT-Systemelektroniker und habe das Blog 2005 gegründet. Seit 2008 ist es Beruf(ung). Baujahr 1977, Dortmunder im Norden, BVB-Fan und Vater eines Sohnes. Auch zu finden bei LinkedIn, Twitter, Facebook, Instagram und YouTube. PayPal-Kaffeespende. Mail: carsten@caschys.blog

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

72 Kommentare

  1. Danke für die Info, aber ich denke, dass du die „wp-login.php“ meinst, und nicht die „wp-admin.php“

  2. Danke schön!

  3. Danke für den Tipp! Habe die Datei sofort gefixt.

  4. Der Fix verrät eigentlich schon die Lücke :p

    Ist aber mal wieder ein Bug, den man einfach nicht beim ersten mal sieht.

  5. Danke dafür. Direkt gefixt.

  6. Gefixt und weiter publiziert. Danke für den Hinweis.

  7. Super, dankeschön – gleich behoben und retweetet 😉

  8. Behoben! vielen Dank!

  9. Ach du warst das also bei mir. Danke =D

  10. Vielen Dank für den Hinweis auf die Lücke! Ich habe den Fix direkt eingebaut und deinen Tweet gleich weitergereicht 😉

  11. Echt toll, dass du die Lücke so schön dokumentierst. Gerade das sollte man nicht machen und wurde auch beim letzten Bug nicht gemacht siehe WPD….

    Ich hoffe, ihr habt es auch dem Security Team von WP gemeldet….

  12. @super:

    jau, ist es wohl – und zudem hat auch Heise eine halbe Stunde nach meinem Text darüber berichtet.

  13. Na dann gibt es wohl in ein paar Tagen wieder ne neue Version von WordPress … da kommt man ja nicht mehr zum bloggen bei den ganzen Updates 😉

  14. Danke für den Hinweis, fixed.
    Ziemlich derber, simpler Fehler für ein offizielles Release.

  15. Danke für den Hinweis und die Fix.

  16. Schön und gut, aber der Fix reicht nicht wirklich aus und wurde auch schon wieder entfernt, siehe Changeset 11799. In der Timeline gibt es weitere Änderungen, siehe Changeset 18000 – 18004.

    Dies ist somit nur ein oberflächlicher Fix und sollte kein Grund sein, um nicht auf das nächste Sicherheitsrelease zu verzichten.

    Könnte man eventuell hinzufügen.
    Schönen Gruß.

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.