Sicherheitsupdate: WordPress 2.6.2 veröffentlicht

Schwächen der Funktion mt_rand() gefährden auch andere PHP-Applikationen

Stefan Esser hat eine Sicherheitslücke in der Blogsoftware Wordpress entdeckt, die die Entwickler mit der neuen Version 2.6.2 schließen. Gefährdet sind in erster Linie Blogs, die eine offene Registrierung anbieten.

Anzeige

Der Sicherheitsexperte Stefan Esser wies die Wordpress-Entwickler auf zwei Probleme hin, eines im Zusammenhang mit SQL-Column-Truncation, das andere resultiert aus einer Schwäche der Funktion mt_rand(). Gemeinsam habe man die Probleme beseitigt und die Version 2.6.2 veröffentlicht, so die Wordpress-Entwickler.

Sie raten vor allem Blogbetreibern, die in ihrer Wordpress-Installation eine offene Registrierung erlauben, zum Update. Denn in Wordpress-Versionen bis einschließlich 2.6.1 ist es Angreifen möglich, einen Usernamen so zu wählen, dass ein anderer Account zurückgesetzt und das Passwort zufällig neu gesetzt wird. Auch wenn der Angreifer dadurch keinen Zugriff auf das neue Passwort erhält, könne dies sehr ärgerlich sein.

Problematisch wird dieser Angriff aber in Kombination mit Schwächen der Funktion mt_rand(), mit der das neue Passwort generiert wird. Das eigentlich zufällig gesetzte Passwort ist dadurch voraussagbar. Details dazu werde Stefan Esser in Kürze veröffentlichen, denn auch andere PHP-Applikationen dürften von dem Problem betroffen sein. Abhilfe schafft Essers PHP-Sicherheitspatch Suhosin.

Wordpress 2.6.2 beseitigt darüber hinaus einige weitere kleine Fehler und steht ab sofort unter wordpress.org zum Download bereit.

Kommentarübersicht

Kommentieren

Trackbacks

nexem.info - Der News-Blog / 15. Sep 2008

Sicherheitsupdate für WordPress

splash ;) / 10. Sep 2008

WordPress: 2.6.2 (Sicherheitsrelevant)

PHP Frameworks / 10. Sep 2008

Angreifer können Passwörter von WordPress-Nutzern zurücksetzen

dinofuss.de / 09. Sep 2008

Sicherheitslücke in WordPress erfordert Update auf Version 2.6.2

aptgetupdate.de / 09. Sep 2008

[Update] Worpdress 2.6.0 -> 2.6.2

Puhs Blog / 09. Sep 2008

WordPress 2.6.2 Update

Eindrücke / 09. Sep 2008

Wordpress 2.6.2 (Bugfix)

WebhostingBlog - Corporate-Blog der dogado Internet GmbH und crossconcept GmbH / 09. Sep 2008

Sicherheitslücke in WordPress, Update empfohlen

Das Tagebuch eines IT'lers / 09. Sep 2008

Sicherheitslücke in WordPress, Update empfohlen

Leben des wolf-u.li / 09. Sep 2008

Wordpress 2.6.2 ist erschienen - Kritisches Update

Developer's Guide / 09. Sep 2008

mt_srand ist nicht sonderlich zufällig

Anzeige
Stellenmarkt
  1. Inhouse Consultant (m/w)
    PAYBACK GmbH, München
  2. Softwareentwickler / Softwareentwicklerin
    BBF GmbH, München und Dresden
  3. IT-Projektmitarbeiter (m/w) DB / Logistiksoftware
    transmed Transport GmbH, Regensburg
  4. Stellvertretender Teamleiter (m/w) IT-Helpdesk
    Rhenus AG & Co. KG, Holzwickede

 

Detailsuche

Folgen Sie uns
       
Videos
Googles Spotify-Konkurrent All Access Googles Spotify-Konkurrent All Access
Ticker
  1. Surface Pro im Test

    Microsofts Tablet überzeugt als Notebook

  2. Briefkastenfirmen

    Apple ist "einer der größten Steuervermeider" der USA

  3. Yahoo Japan

    Daten von 22 Millionen Nutzern kompromittiert

  4. Flying Wild Hog

    Der Shadow Warrior kämpft wieder

  5. Sony

    Die Playstation 4 ist schwarz - und verschwommen

  6. Palava

    Videokonferenzlösung auf Basis von WebRTC

  7. Browser

    Opera für Android mit Webkit-Engine ist da

  8. Travelstar 5K1500

    Notebookfestplatte mit 1,5 TByte

  9. Sandisk und Toshiba

    Flash-Speicher wird kleiner

  10. Samsung

    Galaxy-S4-Funktionen für das Galaxy S3

Newsletter-Abo
Haben wir etwas übersehen?

E-Mail an news@golem.de

Anzeige
Jolla
Sailfish-Smartphone: Jolla stellt "The Other Half" vor
Sailfish-Smartphone
Jolla stellt "The Other Half" vor

Jolla hat unter dem Namen "The Other Half" (Die andere Hälfte) sein erstes Smartphone mit dem Meego-Nachfolger Sailfish OS vorgestellt. Die Entwickler von Nokias einzigem Meego-Smartphone N9 bieten "Die andere Hälfte" mit 4,5-Zoll-Display ab sofort zur Vorbestellung an.

  1. Sailfish OS Erste Jolla-Smartphones Anfang Mai erhältlich
  2. Displayserver Wayland 1.1 mit neuen Weston-Backends
  3. Jolla SDK für Sailfish veröffentlicht
iPhone 5
Paul Otellini: Wie Intel das iPhone verpasst hat
Paul Otellini
Wie Intel das iPhone verpasst hat

"Ich hätte auf mein Gefühl vertrauen sollen." Das sagt der Ex-Intel-Chef über die gescheiterten Verhandlungen für einen SoC von Intel im ersten iPhone vor dem Start im Jahr 2007.

  1. Mophie Juice Pack Plus Akkuhülle für 10 Stunden mehr Sprechzeit mit dem iPhone 5
  2. Apple und T-Mobile USA Neues iPhone 5 mit HSPA-Unterstützung auf dem AWS-Band
  3. Digitimes Neues iPhone soll im Sommer kommen
Zensur
Zensur im Iran: "Das Internet muss an die Kette"
Zensur im Iran
"Das Internet muss an die Kette"

Im Iran werden kurz vor der Wahl verstärkt ausländische Webseiten gefiltert und die ohnehin langsame Surfgeschwindigkeit nochmals gedrosselt. Damit sei das iranische Intranet - auch Halal genannt - weitgehend fertig, sagen Aktivisten.

  1. Offline Syrien erneut vom Internet abgeschnitten
  2. Lokalisierung Spiele verboten!
  3. Zensur Iranische Behörden sperren VPNs
Forumsbeiträge »
  1. Sony Die Playstation 4 ist schwarz - und verschwommen

    Re: Um Microsoft braucht sich keiner Sorgen machen

    xmaniac | 12:07

  2. Travelstar 5K1500 Notebookfestplatte mit 1,5 TByte

    Re: Ach ja, die guten alten mechanischen Festplatten

    Captain | 12:07

  3. Browser Opera für Android mit Webkit-Engine ist da

    Re: die meinten sicherlich Opera 14 fuer Android...

    caldeum | 12:04

  4. Hochauflösend Samsung zeigt Notebookdisplay mit 3.200 x 1.800 Pixeln

    Re: Wofür diese hohen Auflösungen auf so kleinen...

    chrulri | 12:04

  5. Electronic Arts Leitender EA-Entwickler bezeichnet Wii U als "Mist"

    Re: Off Topic: Wii U übertakten

    mwr87 | 11:59

Ticker »
  1. Surface Pro im Test Microsofts Tablet überzeugt als Notebook

    12:05

  2. Briefkastenfirmen Apple ist "einer der größten Steuervermeider" der USA

    12:01

  3. Yahoo Japan Daten von 22 Millionen Nutzern kompromittiert

    11:51

  4. Flying Wild Hog Der Shadow Warrior kämpft wieder

    11:02

  5. Sony Die Playstation 4 ist schwarz - und verschwommen

    10:31

  6. Palava Videokonferenzlösung auf Basis von WebRTC

    10:25

  7. Browser Opera für Android mit Webkit-Engine ist da

    10:19

  8. Travelstar 5K1500 Notebookfestplatte mit 1,5 TByte

    10:14

Zum Artikel