Es ist ein Exploit aufgetaucht, welches die Fehlende Validierung in der admin-ajax.php ausnutzt. Nur in Version 2.1.3
Bitte die aktuelle Version 2.2 Deutsch downloaden oder die Englische
Dies behebt das Problem 
May 22 2007
WordPress Lücke, kritisch !
May 13 2007
XSS-Lücken und es nimmt kein Ende
Ich hatte gerade mal wieder 30 Minuten Luft und habe mir gedacht “Schaust du dir mal wieder mehr oder minder bekannte Seiten an” . Und prüfst sie natürlich auch gleich auf etwaige XSS-Luecken 
.
Nunja was soll ich sagen. Ich habe wohl knapp 15 Seiten geprüft und 9 und mehr davon weisen XSS-Lücken auf. Danach hatte ich ehrlich gesagt keine Lust mehr. Einige weisen auch andere Lücken auf, welche sogar sehr Sicherheitskritisch sind. Selbst die Firma “Proforma” die selbst Internetauftritte erstellt, weist Lücken auf. Wo ich zu meiner nächsten Frage komme. Wieso sind 98% aller Eingabefelder auf einer Seite validiert und 2% nicht. Was dann meist 1-2 Felder sind. Wer Codet diesen Müll bitteschön zusammen?
Warum unterschätzen alle den Imageschaden dieser Lücken? Durch solche Nachlässigkeiten könnten immense Schäden entstehen wenn es jemand mit viel potentieller Energie auf eine dieser Seiten abgesehen hat.
- http://www.stiftung-aufarbeitung.de/
- http://www.na-bibb.de/
- http://www.proforma.de/
- http://www.liberale.de/
- http://www.gewobag-verbund.de/
- http://tv-movie.de/
- http://www.gamepn.com
- http://www.blog.de
- http://www.gamingfacts.de/ (und alle ableger)
Um nur ein paar zu nennen . Wer also schon immer einmal das Suchen von solchen Lücken üben wollte, diese Seiten weisen definitiv Lücken auf, findet sie
May 12 2007
und diesmal blog.de
Als ich letztens wieder auf einer meiner Streiftouren durch das WWW war, stolperte ich mal wieder über blog.de und die Stellenausschreibung eines Freiberuflichen PHP-Entwicklers für die Seite. Also schnell Bewerbung getippert und mit den nötigen Unterlagen abgeschickt. Nun wie nicht anders zu erwarten erstmal keine Rückmeldung.
Also hab ich mir die Seite mal etwas genauer angeschaut. Zwecks XSS Lücken. Siehe da nicht lange musste man suchen, hatte man auch schon das erste nicht ordentlich validierte Eingabefeld gefunden, nun ganz dumm waren sie nicht, das muss man ihnen schon lassen, wenn man versucht aus dem Tag auszubrechen wird das gefiltert. Aber wer will schon aus einem Eingabefeld ausbrechen wenn er diesem auch einfach weitere properties und javascript Eventhandler hinzufügen kann .
Nun mehr sei an dieser Stelle nicht gesagt, Leute die sich etwas damit auskennen werden die Lücken schon selbst finden, vorhanden sind Sie auf jeden fall. Dazu braucht man noch nicht mal einen Account dort, wer weiß was sich damit dann noch alles anstellen lässt.
Was lernen wir wieder einmal daraus, nunja Validierung und Testing insbesondere auf XSS Lücken scheint immernoch einen viel zu geringen Stellenwert bei Unternehmen zu haben, zieht man schließlich keinerlei Profit daraus. Solange bis es zu mittelschweren Imageschäden kommt, siehe StudiVz und konsorten. Ja diese ganzen Web 2.0 möchtegern startups.
May 08 2007
AOL macht Passwörter unsicher
Nach aktuellen berichten ist es bei AOL egal was man nach der 8ten Stelle im Passwort angibt, da der Anbieter ab dieser Stelle die Eingaben abschneidet. So Brian Krebs von der Washington Post
Noch schlimmer ist, das AOL angeblich 16 Stellen speichert und sich Nutzer die komplexe Passwörter nutzen in vermeintlicher Sicherheit wiegen, da ihr Passwort welches mehr als 8 stellen hat, mit 8 stellen vielleicht sogar schon gegen Wörterbuchangriffe anfällig sein könnte.
Also auf wen dies zutrifft, der sollte schnellstens sein Passwort ändern und die Gegebenheit mit den 8 stellen beachten.
May 01 2007
WordPress Plugins fehlerhaft
Es sind mehrere Exploits zu WordPress Plugins aufgetaucht. Alles sogenannte RFI Exploits. RFI steht für “Remote File Include”, sprich es können externe Dateien in das Script eingebunden werden, welche dann auf eurem Webserver mit den Rechten eures Webservers laufen.
Betroffen sind die folgenden Plugins:
- WP-Table — Exploit Version <= 1.43
- wordTube — Exploit Version <= 1.43
- myFlash — Exploit Version <= 1.00
Angeblich soll es nötig sein das die php-option “register_globals” aktiviert ist. Nach einem kurzen Blick auf die Datei scheint es aber so, als wäre es nicht zwingend notwendig das diese Option aktiviert ist. Denn wenn man diese Datei mittels POST Request aufruft und die entsprechenden Formularfelder setzt kann man ein Script auch so einbinden. Aber man sollte ja sowieso die php-option “allow_url_include” deaktiviert haben, da kann einem so eine Lücke nicht gleich so sehr gefährlich werden, wenn dann noch open_basedir gesetzt ist und register_globals deaktiviert ist.