Sicherheitslücke in der MetaWeblogAPI

Nachdem es am letzten Wochenende jemandem gelungen war, das offizielle Google Blog zu hacken und einen Post darauf zu plazieren (Screenshots und mehr Infos dazu bei Google Blogoscoped) berichtet nun auch golem.de darüber:

Schuld an dem falschen Beitrag sei ein Fehler in Googles eigener Blog-Plattform Blogger durch den ein Unbekannter unerlaubt einen Beitrag im offiziellen Google-Blog veröffentlichen konnte. Google behob den Fehler nach eigenen Angaben schnell und auch der Beitrag wurde gelöscht, was zunächst aber einige Spekulationen auslöste.

Ob der Fehler aber nur auf Googles Blogger-Plattform auftritt, darf unterdessen bezweifelt werden. Offenbar ist der Hack auf jedem Blog reproduzierbar, das über RSS und die MetaWeblogAPI verfügt. Damit dürfte eine ziemlich grosse Anzahl von Blogplattformen (wie z.B. auch WordPress) betroffen sein, denn die MetaWeblogAPI ist weitverbreitet.

Wie Randy Charles auf seinem Blog berichtet, liegt das Problem an einem Buffer Overflow:

Basically, Jason took advantage of an RSS unchecked buffer problem to post to my blog using MetaWeblogAPI. You can do the same by simply finding out what IP address a subscriber of yours is using and stuffing the buffer overflow code into your own RSS feed. When the subscribers native RSS reader polls your feed, the buffer overflow code causes blog entries to be posted on his blog. I’m not going to give specific samples because I don’t want people exploiting this problem, which exist on any desktop with Firefox, IE7 or other native RSS reader.

Auf den Seiten von WordPress herrscht dazu noch Funkstille, Jason Schramm hat hingegen bereits ein WordPress Patch gegen die Host Overflow Application Exception als Plugin veröffentlicht. Das Plugin ist jedoch verschlüsselt, um, wie Jason schreibt, Nachahmern nicht zuviele Anhaltspunkte zu geben. Allerdings weiss man so auch nicht, was das Plugin mit dem eigenen Blog wirklich anstellt. Vorsicht ist also angebracht.

Obwohl die Host Overflow Application Exception bereits seit Anfang Monat bekannt ist, scheint sich bisher wenig zu tun, bzw. liest man praktisch nichts darüber. Allerdings waren von dieser Sicherheitslücke bisher auch erst ganz wenige Blogs betroffen.

[Update]
Ääääärger! Das war wohl nix und ich bin hier einem Hoax aufgesessen, wie Dominik in den Kommentaren passend schreibt. Tja, aehm… kann in den besten Familien mal vorkommen. Hätte ich mir das Plugin wirklich runtergeladen und es mir mal angesehen, dann hätte das auch mir auffallen können. Tja, also Kommando zurück und den Post gleich wieder vergessen…

4 Comments

  1. Dominik 9.10.2006
  2. BloggingTom 9.10.2006
  3. chregu 9.10.2006
  4. BloggingTom 9.10.2006