Sicherheitsupdate: WordPress 2.6.2 veröffentlicht

Schwächen der Funktion mt_rand() gefährden auch andere PHP-Applikationen

Stefan Esser hat eine Sicherheitslücke in der Blogsoftware Wordpress entdeckt, die die Entwickler mit der neuen Version 2.6.2 schließen. Gefährdet sind in erster Linie Blogs, die eine offene Registrierung anbieten.

Anzeige

Der Sicherheitsexperte Stefan Esser wies die Wordpress-Entwickler auf zwei Probleme hin, eines im Zusammenhang mit SQL-Column-Truncation, das andere resultiert aus einer Schwäche der Funktion mt_rand(). Gemeinsam habe man die Probleme beseitigt und die Version 2.6.2 veröffentlicht, so die Wordpress-Entwickler.

Sie raten vor allem Blogbetreibern, die in ihrer Wordpress-Installation eine offene Registrierung erlauben, zum Update. Denn in Wordpress-Versionen bis einschließlich 2.6.1 ist es Angreifen möglich, einen Usernamen so zu wählen, dass ein anderer Account zurückgesetzt und das Passwort zufällig neu gesetzt wird. Auch wenn der Angreifer dadurch keinen Zugriff auf das neue Passwort erhält, könne dies sehr ärgerlich sein.

Problematisch wird dieser Angriff aber in Kombination mit Schwächen der Funktion mt_rand(), mit der das neue Passwort generiert wird. Das eigentlich zufällig gesetzte Passwort ist dadurch voraussagbar. Details dazu werde Stefan Esser in Kürze veröffentlichen, denn auch andere PHP-Applikationen dürften von dem Problem betroffen sein. Abhilfe schafft Essers PHP-Sicherheitspatch Suhosin.

Wordpress 2.6.2 beseitigt darüber hinaus einige weitere kleine Fehler und steht ab sofort unter wordpress.org zum Download bereit.

Kommentarübersicht

Kommentieren

Trackbacks

nexem.info - Der News-Blog / 15. Sep 2008

Sicherheitsupdate für WordPress

Amys Welt / 10. Sep 2008

WordPress Update auf 2.6.2 …

splash ;) / 10. Sep 2008

WordPress: 2.6.2 (Sicherheitsrelevant)

PHP Frameworks / 10. Sep 2008

Angreifer können Passwörter von WordPress-Nutzern zurücksetzen

dinofuss.de / 09. Sep 2008

Sicherheitslücke in WordPress erfordert Update auf Version 2.6.2

aptgetupdate.de / 09. Sep 2008

[Update] Worpdress 2.6.0 -> 2.6.2

Puhs Blog / 09. Sep 2008

WordPress 2.6.2 Update

Eindrücke / 09. Sep 2008

Wordpress 2.6.2 (Bugfix)

WebhostingBlog - Corporate-Blog der dogado Internet GmbH und crossconcept GmbH / 09. Sep 2008

Sicherheitslücke in WordPress, Update empfohlen

Das Tagebuch eines IT'lers / 09. Sep 2008

Sicherheitslücke in WordPress, Update empfohlen

Leben des wolf-u.li / 09. Sep 2008

Wordpress 2.6.2 ist erschienen - Kritisches Update

Developer's Guide / 09. Sep 2008

mt_srand ist nicht sonderlich zufällig

Anzeige
Stellenmarkt
  1. Mitarbeiter IT Technical Support (m/w)
    eleven GmbH, Berlin
  2. Kundenberater / Projektleiter (m/w)
    AKDB Anstalt für kommunale Datenverarbeitung in Bayern, Landshut
  3. IT-Koordinator (m/w)
    EUROGATE Technical Services GmbH, Hamburg, Bremerhaven, Wilhelmshaven
  4. Software-Entwicklungsingenie- ur (m/w) für die Entwicklung von Bedienoberflächen
    DVS Digital Video Systems GmbH, Hannover

 

Detailsuche

Folgen Sie uns
       
Videos
Quadrotor-Schwarm - Grasp Lab Quadrotor-Schwarm - Grasp Lab
Meistgelesen
  1. Battleship

    Computerspiel zum Kinospektakel "Schiffe versenken"
  2. Spieletest X-Plane 10

    Flugsimulator mit Openstreetmap und vielen Rechnern
  3. Club-Mate

    Hack fürs Hirn
  4. Google Drive

    Google bereitet günstigere Dropbox-Konkurrenz vor
  5. Vendor-Prefixes

    Wird Webkit zum neuen IE6?
Meistkommentiert
  1. Club-Mate: Hack fürs Hirn

    Kommentare: 167 | letzter Beitrag 15:30 Uhr

  2. Bittorrent-Abmahnung: Kann Pornografie urheberrechtlich geschützt sein?

    Kommentare: 164 | letzter Beitrag 16:23 Uhr

  3. Android-Smartphone: Galaxy S2 erhält Update auf Android 2.3.6

    Kommentare: 134 | letzter Beitrag 13:23 Uhr

  4. Umfrage: Zuschauer wollen mehr HD-Programme

    Kommentare: 123 | letzter Beitrag 16:19 Uhr

  5. Kubuntu: Canonical beendet offizielle Unterstützung

    Kommentare: 94 | letzter Beitrag 08.02. 14:29

Mehr

Ticker
  1. Motorola Gleam+

    Klapphandy mit 2,8-Zoll-Display für 100 Euro

  2. Day of the Tentacle

    600.000 US-Dollar für Tim Schafers neues Adventure

  3. Taleo

    Oracle kauft Cloud-Anbieter für 1,9 Milliarden US-Dollar

  4. iTunes

    Legale Filmdownloads steigen, Videotheken leiden

  5. USK-Statistik 2011

    Weniger Casualgames, aber neue Konsolengeneration

  6. Transportroboter

    Darpa testet Alpha Dog im Gelände

  7. Spieletest X-Plane 10

    Flugsimulator mit Openstreetmap und vielen Rechnern

  8. Apple-Tablet

    iPad 3 wird angeblich in der ersten Märzwoche vorgestellt

  9. Motorola Defy Mini

    Android-Smartphone mit IP67-Zertifizierung kommt im März

  10. Samsung Galaxy Tab 10.1N

    Apple scheitert mit Verkaufsverbot

Newsletter-Abo
Haben wir etwas übersehen?

E-Mail an news@golem.de

Ubisoft
Ubisoft: Anno 2070 wegen Serverumzug doch nicht spielbar
Ubisoft
Anno 2070 wegen Serverumzug doch nicht spielbar

Eigentlich hatte Ubisoft versprochen, dass es trotz eines Serverumzugs keine Probleme mit dem DRM der PC-Versionen Anno 2070 und Driver gibt - trotzdem sind die beiden Spiele derzeit nicht zum Laufen zu bringen.

  1. Gerücht Spielt Assassin's Creed 3 im Unabhängigkeitskrieg?
  2. Spielejahr 2012 Was ist denn nun mit Titan?
HDTV
Umfrage: Zuschauer wollen mehr HD-Programme
Umfrage
Zuschauer wollen mehr HD-Programme

Wer HD-Programme einmal ausprobiert hat, möchte meist nicht wieder zurück zu unscharfen Konturen und matten Farben. Astra rechnet damit, dass bis Ende 2012 über 50 Programme in Deutschland in HD-TV ausgestrahlt werden.

  1. Kabel Deutschland Schnulzen in HD
Acta
Acta: Piratenpartei ruft zu Protesten in 50 deutschen Städten auf
Acta
Piratenpartei ruft zu Protesten in 50 deutschen Städten auf

Die Piratenpartei hat die Liste für die Demonstrationen gegen Acta online gestellt. In rund 50 Städten soll es in Deutschland Proteste geben, 19 Länder in Europa sind einbezogen. Polens Regierung tritt bereits den Rückzug an.

  1. Acta Junge Union gegen Acta und Internetsperren
  2. Acta Piratenparteien rufen zu Protesten in Deutschland auf
  3. Antipiraterie-Abkommen Niederländisches Parlament lehnt Acta-Debatte ab
Forumsbeiträge »
  1. Apple-Tablet iPad 3 wird angeblich in der ersten Märzwoche vorgestellt

    Re: Hardware

    derAngler | 17:16

  2. Transportroboter Darpa testet Alpha Dog im Gelände

    Re: Und wenn er mal kaputt geht...

    Mister Tengu | 17:16

  3. Nokia und Windows Phone Es gibt keinen Plan B

    Re: Es ist ein Trauerspiel

    JumpLink | 17:14

  4. Motorola Defy Mini Android-Smartphone mit IP67-Zertifizierung kommt im März

    war das nicht schon im letzten jahr angekündigt?!

    McNoise | 17:14

  5. Umfrage Zuschauer wollen mehr HD-Programme

    Re: 99% der Wies'n-Besucher wollen mehr Freibier

    genab.de | 17:14

Ticker »
  1. Motorola Gleam+ Klapphandy mit 2,8-Zoll-Display für 100 Euro

    16:32

  2. Day of the Tentacle 600.000 US-Dollar für Tim Schafers neues Adventure

    16:27

  3. Taleo Oracle kauft Cloud-Anbieter für 1,9 Milliarden US-Dollar

    15:39

  4. iTunes Legale Filmdownloads steigen, Videotheken leiden

    15:34

  5. USK-Statistik 2011 Weniger Casualgames, aber neue Konsolengeneration

    15:29

  6. Transportroboter Darpa testet Alpha Dog im Gelände

    15:25

  7. Spieletest X-Plane 10 Flugsimulator mit Openstreetmap und vielen Rechnern

    15:17

  8. Apple-Tablet iPad 3 wird angeblich in der ersten Märzwoche vorgestellt

    15:15

Zum Artikel