Offene Sicherheitslücke gefährdet Wordpress
Angreifer können Wordpress-Admins aussperren
Eine Sicherheitslücke in Wordpress erlaubt es Angreifern, die Administratoren entsprechender Blogs auszusperren. Eine korrigierte Wordpress-Version steht derzeit noch nicht zum Download bereit.
Der von Laurent Gaffie entdeckte Fehler steckt in Wordpress bis einschließlich der aktuellen Version 2.8.3 und erlaubt es Angreifern, das Passwort des jeweiligen Blogadministrators zurückzusetzen. Zwar kann der Admin-Account damit nicht kompromittiert werden, Admins sich aber auch nicht mehr einloggen.
Die Wordpress-Entwickler haben den Fehler im aktuellen Entwicklerzweig der Software bereits korrigiert. Der Patch betrifft lediglich eine Zeile, lässt sich also leicht in bestehende Systeme übernehmen, denn eine korrigierte Version steht noch nicht zum Download bereit.
Administratoren, die bereits ausgesperrt wurden, können sich mit dem Emergency Password Reset Script wieder Zugriff auf ihren Account verschaffen, ein SSH-Zugriff auf den Server vorausgesetzt.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
- ohne Werbung
- mit ausgeschaltetem Javascript
- mit RSS-Volltext-Feed
Aber auch nur wenn Updates verfügbar sind - mittlerweile ist es wohl der Fall. Besser...
Naja, für'n Greis sieht Alfred E. Neumann aber noch ganz gut aus - trotz der Lücke!
http://lists.grok.org.uk/pipermail/full-disclosure/2009-August/070137.html "WordPress is...