RSS

API

Forum

Zusatz-Dienste

Jobs

Impressum

Videos

Kingdoms of Amalur Reckoning - Debut Trailer

Stellenmarkt

SAP-BI-Berater (m/w)
Tönsmeier Dienstleistung GmbH & Co. KG, Porta Westfalica

JAVA Software-Entwickler (m/w)
TESIS DYNAware GmbH, München

Senior P&I Consultant - Application Manager CORDYS (m/w)
Siemens Financial Services GmbH, München

Letzte Meldungen

O2: Kombiangebot aus Handyvertrag und Alice-DSL-Anschluss kommt

Lost in Space: 28 Millionen US-Dollar für Raumfahrer Lord British

Gnome: Desktop soll ins Web

Spieletest Starcraft 2: Mehr Einzelspielerstrategie geht nicht

Blackberry 6: Erste Geräte kommen erst im Herbst

Motorola: Der Smartphone-Absatz ist gestiegen

Steve Ballmer: Windows-7-Tablets in Vorbereitung

Microsoft: Linux Integration Services 2.1 prüft Herzschlag

Eclipse SDK 4.0: Entwicklungsplattform mit neuer Benutzerschnittstelle

Nokia: Ovi Browser für S40-Handys tut es Opera Mini gleich

Google und Adobe: Chrome ab sofort mit integriertem Flash-Player

Mozilla: Updates für Firefox Home und Sync

Sysadminday: Feiert den Icon-Dieb!

Blog-Software: Wordpress 3.0.1 beseitigt Fehler

Echtzeit-Kompression: IBM kauft Storwize

Microsoft: Beta des Internet Explorer 9 im September 2010

Web Timing: Wie schnell lädt eine Website?

Freier Media-Player: VLC 1.1.2 veröffentlicht

Mac-kompatibel: Webcam zum Mitnehmen

15 Minuten: Youtube erhöht Upload-Limit

Digitales Rückteil: Sinar baut DSLRs zu Fachkameras um

Panasonic: 3D-Filme selbst drehen

WiFi-Gate: Britischer Datenschützer entlastet Google

Yes, we can: FBI soll Verkehrsdaten ohne Richterbeschluss bekommen

LTE-Mobilfunk: O2 startet Ende des Jahres Netze in Halle und München

Alien Arena 2010: Mehr Licht und Schatten

App-Genome-Projekt: Android-App sammelt persönliche Daten und gibt sie weiter

Rakudo Star: Perl 6 ist benutzbar

Elektromobilität: Blink - der iPod unter den Ladesäulen

Großbritannien: Sky sendet ab Oktober in 3D

Weitere News

Haben wir etwas übersehen? Dann Mail an news@golem.de.

Security / 09.09.2008 / 09:46

Trackback

Druck

Sicherheitsupdate: WordPress 2.6.2 veröffentlicht

Schwächen der Funktion mt_rand() gefährden auch andere PHP-Applikationen

Stefan Esser hat eine Sicherheitslücke in der Blogsoftware Wordpress entdeckt, die die Entwickler mit der neuen Version 2.6.2 schließen. Gefährdet sind in erster Linie Blogs, die eine offene Registrierung anbieten.

Der Sicherheitsexperte Stefan Esser wies die Wordpress-Entwickler auf zwei Probleme hin, eines im Zusammenhang mit SQL-Column-Truncation, das andere resultiert aus einer Schwäche der Funktion mt_rand(). Gemeinsam habe man die Probleme beseitigt und die Version 2.6.2 veröffentlicht, so die Wordpress-Entwickler.

Sie raten vor allem Blogbetreibern, die in ihrer Wordpress-Installation eine offene Registrierung erlauben, zum Update. Denn in Wordpress-Versionen bis einschließlich 2.6.1 ist es Angreifen möglich, einen Usernamen so zu wählen, dass ein anderer Account zurückgesetzt und das Passwort zufällig neu gesetzt wird. Auch wenn der Angreifer dadurch keinen Zugriff auf das neue Passwort erhält, könne dies sehr ärgerlich sein.

Problematisch wird dieser Angriff aber in Kombination mit Schwächen der Funktion mt_rand(), mit der das neue Passwort generiert wird. Das eigentlich zufällig gesetzte Passwort ist dadurch voraussagbar. Details dazu werde Stefan Esser in Kürze veröffentlichen, denn auch andere PHP-Applikationen dürften von dem Problem betroffen sein. Abhilfe schafft Essers PHP-Sicherheitspatch Suhosin.

Wordpress 2.6.2 beseitigt darüber hinaus einige weitere kleine Fehler und steht ab sofort unter wordpress.org zum Download bereit. (ji)

Kommentar-Übersicht / Kommentieren:

Trackback:

Sicherheitsupdate für WordPress (nexem.info - Der News-Blog, 15.09.08 15:45)

WordPress Update auf 2.6.2 … (Amys Welt, 10.09.08 23:19)

WordPress: 2.6.2 (Sicherheitsrelevant) (splash ;), 10.09.08 16:31)

Angreifer können Passwörter von WordPress-Nutzern zurücksetzen (PHP Frameworks, 10.09.08 14:13)

Die Krux mit dem Zufall (Blogs optimieren, 10.09.08 09:34)

Sicherheitslücke in WordPress erfordert Update auf Version 2.6.2 (dinofuss.de, 09.09.08 19:58)

[Update] Worpdress 2.6.0 -> 2.6.2 (aptgetupdate.de, 09.09.08 15:28)

WordPress 2.6.2 Update (Puhs Blog, 09.09.08 14:14)

Wordpress 2.6.2 (Bugfix) (Eindrücke, 09.09.08 13:36)

Sicherheitslücke in WordPress, Update empfohlen (WebhostingBlog - Corporate-Blog der dogado Internet GmbH und crossconcept GmbH, 09.09.08 11:09)

Sicherheitslücke in WordPress, Update empfohlen (Das Tagebuch eines IT'lers, 09.09.08 11:08)

Wordpress 2.6.2 ist erschienen - Kritisches Update (Leben des wolf-u.li, 09.09.08 11:05)

mt_srand ist nicht sonderlich zufällig (Developer's Guide, 09.09.08 10:47)

Links zum Artikel

Suspekt - Stefan Esser (.org)

WordPress (.org)

Bookmarks:

Aktuelle Artikel

O2
Kombiangebot aus Handyvertrag und Alice-DSL-Anschluss kommt
In Kürze will O2 nach der Hansenet-Übernahme ein Kombiangebot mit einem Mobilfunkvertrag von O2 und einem DSL-Anschluss von Alice an den Start gehen. Das erklärte René Schuster, CEO von O2 Deutschland, anlässlich der Vorstellung der aktuellen Quartalszahlen des Netzbetreibers.

Lost in Space
28 Millionen US-Dollar für Raumfahrer Lord British
Der Spieledesigner und Freizeitastronaut Richard Garriott, unter Fans auch bekannt als Lord British, hat einen Rechtsstreit gegen NC Soft in erster Instanz gewonnen - und damit 28 Millionen US-Dollar.

Gnome
Desktop soll ins Web
Gnome-Entwickler fordern einen Umbruch für den Gnome-Desktop: Er solle künftig auf HTML und CSS setzen statt auf GTK+ und Python. Das sagte Luis Villa, Mitglied im Gnome-Beirat, auf der Entwicklerkonferenz GUADEC.

Home | Impressum | Werbung | Freunde