WordPress 2.8.6 verhindert Upload von Schadcode 2

WordPress 2.8.6

WordPress 2.8.6

Die WordPress-Entwickler haben das Sicherheits-Update 2.8.6 veröffentlicht, das zwei Schwachstellen beseitigt. Anwender sollten dies so bald wie möglich installieren, sofern nicht vertrauenswürdige Autoren Inhalte einstellen und Bilder hochladen dürfen. Zumindest einer der Fehler ermöglicht es Angreifern sonst, eigenen PHP-Code auf dem Server auszuführen.

Diese Lücke beruht auf einem Fehler bei der Normalisierung der Dateinamen in Anhängen von Blogposts. So ist es möglich, eine PHP-Datei als Bild zu tarnen (beispielsweise als vuln.php.jpg) und hochzuladen, ohne den WordPress-Schutz zum Blockieren gefährlicher Dateien anzutriggern. Anschließend genügt der Aufruf der Datei im Browser (http://verwundbares-wp/wp-content/uploads/2009/11/test-vuln.php.jpg), um den PHP-Code im Kontext des Webservers auszuführen.

Allerdings funktioniert das offenbar nicht mit jeder Serverkonfiguration. Insbesondere der Apache-Webserver soll in der Standardkonfiguration den Code beim Aufruf der Datei nicht ausführen können. Stattdessen erhält man nur ein kaputtes Bild im Browser angezeigt.

Erst wenn in .htaccess oder der globalen Konfiguration „Options +MultiViews“ gesetzt ist, soll der Apache die Datei als ausführbar akzeptieren. Hinweisen auf der WordPress-Hacker-Mailingliste zufolge soll dies aber bei Webservern standardmäßig der Fall sein, auf denen Panel und WebHost Manager (WHM) zum Einsatz kommen.

  • Panasonic Lumix

    Thanks for taking the time to discuss this, I feel strongly about it and love learning more on this topic. If possible, as you gain expertise, would you mind updating your blog with more information? It is extremely helpful for me.

  • Ezine Articles

    I am really enjoying reading your well written articles. It looks like you spend a lot of effort and time on your blog. I have bookmarked it and I am looking forward to reading new articles. Keep up the good work!

%d Bloggern gefällt das: