Neue Schwachstellen in WordPress beseitigen

Manfred Kohlen,
IT-ManagementIT-ProjekteSicherheitSicherheitsmanagement

Das populäre WordPress, das schon eit langem als CMS verwendet wird,   musste immer mal wieder wegen seiner Lecks gepatcht werden. Heute hat die Firma Core Security vor einem neuen Fehler gewarnt.

Weil ein admin.php-Plugin für WordPress die Zugriffsrechte nicht richtig prüfe, könne durch die Verarbeitung bestimmter URLs ausgelöst werden, dass die angemeldeten »Subscriber« (also Nutzer ohne privilegierte Rechte)  nun trotzdem Konfigurationsseiten ansehen und verändern können. Core Labs nennt dazu einige Beispiel-URLs.

Selbst das WordPress-Modul für das PHP-Intrusion-Detection-System PHP-IDS könne ausgehebelt werden, warnt Core.

Andere Schwachstellen erlauben zudem das Einschleusen von Schadcode ia Javascript.

Der Securityfirma zufolge sind WordPress 2.8 und vorherige Versionen betroffen, Bugfixes seien für die angekündigte 2.8.1-Version in Arbeit (Release Candidate noch ohne Bugfix hier). Bis diese fertig ist, empfiehlt Core, Zugriffe auf den wp-admin-ordner für andere User als den Administrator zu sperren. Dies geschehe am leichtesten durch Bearbeitung der Datei .htaccess des Apache-Web-Servers.

Übrigens: WordPress 2.9 ist bereits geplant. Ohne diese Bugs, versteht sich. (Manfred Kohlen)

Lesen Sie auch :

Ransomware-as-a-Service: Wie Unternehmen sich vor Daten-Erpressung schützen können

Gefahr fürs Firmennetzwerk: Potenzielle Einfallstore für Hacker identifizieren

Support für Windows Server 2008 und Windows 7 läuft in einem Jahr aus
Manfred Kohlen
Autor: Manfred Kohlen
Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen