- Marnems Sicht der Dinge - http://www.marnem.de/blog -

5 Sicherheitslücken in WordPress 2.2.1 mit Fixes

Seit Dienstag sind einige neue Sicherheitslücken in WordPress 2.2.1 [1] bekannt. Der Entdecker hat sich leider dazu hinreißen lassen, die Lücken ausführlich zu beschreiben und zu veröffentlichen, bevor sie durch WordPress gefixt wurden. Stattdessen hat er einen „Wurm“ geschrieben, der eine der Sicherheitslücken ausnutzt und fünf Lücken schließt.

Durch die Veröffentlichung und die Dokumentation der Bugs sind nun alle WordPress Blogs bedroht, denn das ausnutzen der Sicherheitslücken ist einfach und schnell bewerkstelligt. Um sein Blog nun zu schützen gibt es mehrere Möglichkeiten:

  1. Man vertraut dem Endecker der Sicherheitslücken und lässt den Wurm [2] die Lücken schließen. Dies scheint einfach und zuverlässig zu funktionieren.
  2. Man passt die nötigen Stelle im SourceCode von WordPress manuell an, indem man zB der Anleitung bei bueltge.de [3] folgt.
  3. Man vertraut mir und lädt meine Bugfixes WordPress 2.2.1 [4] Datei herunter. In der Zipdatei finden sich vier Dateien, in denen ich die Bugs nach buetges Anleitung behoben habe. Ich übernehme keine Verantwortung für evtl Datenverluste o.ä. Benutzung auf eigene Gefahr!

Sicherheitshalber macht man ein Backup, bevor man die Dateien verändert, eigentlich sollte aber nichts schiefgehen.

[Nachtrag 5. August 2007]
Wordpress hat unter anderem auf die von beNi gefundenen Bugs reagiert und heute mit WordPress 2.2.2 [5] ein Securityupdate veröffentlicht. Die deutsche Version wird sicher im Laufe des Tages erscheinen.