Kleine Überraschung. Beim morgendlichen Lesen meiner Mails schneite mir die folgende Moderationsmail mit dem Titel „Software Update WP 2.0.7“ in Haus:
Autor : wordpress (IP: 141.39.213.xxx , yyyy.rmz.uni-lueneburg.de)
E-Mail : [email protected]
URI : http://wordpress.org
Kommentar:
content=“WordPress 2.0.4″
Scheint wohlnicht geklappt zu haben mit dem Update.
Das habe ich dann auch festgestellt. Wahrscheinlich durch Ausnutzung eines SQL Injection Exploits war es möglich, einem fremden WordPress Weblog ungefragt einen Artikel unterzujubeln. War also doch ein wichtiges Wordpress Upgrade, dieses WP 2.06 Update. Dank Batman von der Uni Lüneburg sind wir jetzt ein bisschen schlauer. Ich muss bei Gelegenheit mal die IPs checken, nicht undenkbar, dass Batman nicht nur der Hinweisgeber in diesem Fall gewesen ist …
Der resultierende Weblog-Eintrag sah dann wie folgt aus:
Software Update WP 2.0.7
11. Januar 2007
Aufgrund diverser Bugs und Sicherheitsmängel wurde ein Upgrade der Blog-Software notwendig. Ab sofort werkelt jetzt WordPress 2.0.7 unter der Haube unseres Detektiv-Blogs. Schade, dass es diese Version noch nicht gibt. Frohes Neues!
Der ungeladene Autor hat sich die Mühe gemacht und einen alten Text zum WordPress Update 2.04 umfrisiert. Das betroffene Weblog ist jetzt auf WP 2.06 upgedatet worden, damit ist dann hoffentlich Ruhe mit dem Exploit. Sicher bin ich mir da aber nicht.
In diesem Zusammenhang liegt es nahe zu vermuten, dass der Hack des StudiVZ Blogs mit eben diesen Mitteln erfolgt ist. Das StudiVZ Blog ist seit heute nacht nicht mehr zu erreichen. Ich würde mal empfehlen ein Update einzuspielen und die Passwörter auszutauschen ;-)
Aber mal Scherz beiseite, es herrscht Update Alarm. Seht zu dass ihr eure Blogs updated, bevor es andere für euch tun!
2.06 reicht nicht :-)
Bei bestimmten Serverkonfigurationen (register_globals on und bestimmten PHP-Versionen) gibt es auch dort noch eine Möglichkeit, sich einzuschleichen. Doch 2.07 ist schon unterwegs:
Löschte man die Trackback.php, so war das Problem ebenfalls beseitigt, soweit ich weiß. War für mich natürlich vorteilhaft, da ich sie generell lösche.
Mit Sicherheit habe ich nichts mit SQL Injections auf irgendwelchen Blogs zutun.
Aber nur mal so zur Info, Wordpress 2.1 ist draußen ;)
:) danke für den hinweis. aber 2.1 ist leider nicht ganz problemlos, wenn man viele plugins im einsatz hat. wird wohl noch ne weile dauern bis ich auf breiter front auf das neue WP upgrade.