Sieben neue Sicherheitslücken hat beNi in den letzten Tagen in der aktuellen WordPress-Version 2.2.1 entdeckt und publik gemacht. Doch nicht nur das: Er hat auch gleich einen „gutmütigen“ Wurm geschrieben, der die Lücken patchen soll:
Er meldet sich dann mit einem div-layer in dem alles noch einmal beschrieben wird, daraufhin musst du bestätigen und der Wurm begleitet dich zu deinem Blog und führt dich in einer Art Setup durch das Patchen der unsicheren scripte upload.php, options.php und link-import.php, und am ende Frägt er ob du noch einen Blogroll-Link zu mir hinzufügen willst oder Feedback in irgendeiner Form hast
Gabs nicht mal einen Virenschreiber, der mit einem „gutmütigen“ Virus irgendeine Windows-Lücke patchen wollte? Klar, dieser „nette“ Wurm hilft tatkräftig dabei, die Dateien entsprechend zu patchen, doch ich sehe das grundsätzlich als gefährlich an. Wer weiss denn schon, ob der nächste als „nette“ bezeichnete Wurm ebenfalls nur Gutes im Sinne hat? Ich will beNi hier nichts unterstellen, aber zumindest theoretisch könnten auf diese Art auch ganz gewollt Hintertürchen eingebaut werden. Kommt dazu, dass wohl ein grosser Teil der Nutzer so einen „Patch-Wurm“ einfach ausführt, ohne sich gross Gedanken darüber zu machen, was dieser eigentlich genau an den Dateien verändert..
Ob es der richtige Weg ist, dass Entdecker von Sicherheitslücken diese gleich selbst patchen, scheint mir deshalb eher zweifelhaft. Andererseits kann es auch mal ein Weilchen dauern bis die WordPress-Entwickler die Lücken mit einem Update offiziell beseitigen, was ungepatchte Blogs zu einem Angriffsziel werden lässt. Was also tun? Zumindest bei kritischen Lücken empfiehlt sich das rasche Patchen tatsächlich, was ich jeweils komplett händisch erledige. So gibt es für einige der sieben neuen Lücken bereits entsprechende Veröffentlichungen im WordPress trac (Tickets 4689, 4690, 4691 und 4692). Weitere mögliche Workarounds findet man auch bei Alex von Buayacorp.
Hey Tom,
ich sehe das genau so. beNi meint es sicher gut mit seinem Wurm, doch eigentlich ist jetzt WordPress angehalten, sofort die Lücken zu schließen und ein Update/Patch zur Verfügung zu stellen.
LG
Och, ich find das schade das heutzutage niemand niemandem mehr traut! :/
Also ich versichere dir da ist kein Hitnertürchen drin, der Code ist ja auch offen zugänglich, guck ihn dir an wenn du zweifel hast! 🙂
Gruß Benjamin
Eigentlich wäre es ja an den Entwicklern, solche Würmer zu schreiben. In der Zeit, in der die eine Anleitung schreiben, wie man die Lücken händisch beheben kann, könnten sie auch gleich den „Wurm“ schreiben.
Nettes Würmchen. 😉
Aber ist die aktuelle WordPress-Version nicht 2.2.1?
@beNi: Wollte Dir auch nicht unterstellen, dass in Deinem Script ein Hintertürchen drin ist (hab mir den Sourcecode natürlich schon angeschaut). Ich wollte lediglich aufzeigen, dass User vielfach fast blindlings solche Scripts ausführen und man sich dies mit einem „bösen“ Script zunutze machen könnte.
Dass heutzutage niemand niemandem mehr traut, mag zwar schade sein, hat aber in Zeiten von „bösen“ Viren und Würmern leider manchmal seine Berechtigung…
@Oliver: Huch, ja klar. Ist korrigiert, danke für den Hinweis…
Hey, leider hat das Misstrauen auch bei diesem Wurm wohl seine Berechtigung, es veraendert wohl ungewollt auch 2 weitere Stellen im Quellcode, in dem er „Zeichen verschluckt“:
http://www.mynethome.de/2007/08/02/wp-xss-wurm-doch-nicht-soo-freundlich/
Viele Gruesse
Markus