Sicherheitslücken in Wordpress: Update bereits erschienen

Für die Blogsoftware Wordpress ist ein Update erschienen. Wordpress 2.6.2 behebt Sicherheitslücken aller Vorgängerversionen bis einschließlich Version 2.6.1, die vor allem Blogs betreffen, die eine offene Registrierung anbieten. Wegen einem Problem im Zusammenhang mit SQL-Column-Truncation, können Angreifer einen Usernamen so wählen, dass ein anderer Account zurückgesetzt und dessen Passwort zufällig neu gesetzt wird. Zugriff auf das neue Passwort erhält der Angreifer zwar nicht, aber wegen einer Schwäche in der Funktion mt_rand(), ist das eigentlich zufällig gesetzte Passwort durchaus voraussagbar. Details hierzu will der Sicherheitsexperte Stefan Esser demnächst veröffentlichen, da wahrscheinlich auch andere PHP-Applikationen von dem Problem betroffen sind. Beheben läßt sich das Problem mit Essers PHP-Sicherheitspatch Suhosin.

0 Kommentar(e)

Zum Posten von Kommentaren bitte