Sicherheitslücke in Wordpress
Wie mir der Fabi gerade persönlich mitteilte, gibt es in Wordpress eine Sicherheitslücke. Diese besteht in der Datei /blog/wp-admin/admin-ajax.php . Über diese Lücke lassen sich MD5-Hashwerte stehlen. Als MD5-Hash sind z.B. die Passwörter für die User im Blog abgespeichert. Wenn man es also schafft den Hash zurück zu berechnen hat man das Passwort im Klartext. Was das bedeuten kann, dürfte ja jedem Klar sein
Abhilfe kann man schaffen indem man die Datei beliebig umbenennt z.B. in “admin-ajaxx.phd” oder sonst wie.
Vielen Dank an Fabi für den Tipp! Also macht eure Blogs sicher und erzählt es weiter solange es kein Update gibt bzw. ihr es dann noch nicht eingespielt habt.
10. Juni 2007 um 18:11
servus,
hab eben mal deinen rat befolgt.
auf welche version von wordpress bezieht sich denn diese sicherheitslücke?
wenn ich nämlich die oben genannte datei bei mir umbenenne, kann ich keine kategorien mehr erstellen bzw. löschen…
mfg
PS: ich hab wordpress 2.2
11. Juni 2007 um 9:56
das ist eine gute Frage, ich denke die Version bei der Fabi die Lücke gefunden hat, war unter 2.2 ich hab bei mir auch 2.2 drauf, hab aber seitdem keine Kategorie mehr erstellt oder gelöscht…