WordPress 2.0.5 und die Vorgängerversionen enthalten zwei gravierende Sicherheitslücken. Eine Lücke ermöglicht fremden PHP-Code auszuführen und die zweite ermöglicht die Administrator Rechte in WordPress zu übernehmen und damit vollständig Zugriff auf die Anwendung zu bekommen.
Alle Benutzer werden dringen aufgefordert WordPress so schnell wie möglich zu aktualisieren, da bereits Exploits für die Fehler erschienen sind und damit die Fehler aktiv ausgenutzt werden!

Der erste Fehler basiert auf einer fehlerhaften Zeichenüberprüfung bei der Verarbeitung von Trackbacks. Damit die Zeichen von verschiedenen Codierungen konvertiert werden, benutzt WordPress die PHP-Funktion mbstring um Diese zu konvertieren. Zwar erfolgt eine Prüfung auf SQL-Injections vor der Konvertierung, aber die Überprüfung nach der Konvertierung fehlt. Damit haben Angreifer die Möglichkeit, SQL-Befehle mit fremden Kodierungen WordPress unter zu schieben. Dieser Fehler ist in der Version 2.0.6 behoben.

Der zweite Fehler ist ein Cross Site Scripting(XSS) Fehler, der es dem Angreifer ermöglicht dem angemeldeten WordPress Benutzer(z.B. dem Administrator) URLs unter zu schieben. Diese werden mit den Rechten des angemeldeten Benutzers ausgeführt und ermöglichen damit dem Angreifer, Befehle unter zu schieben, die mit den rechten des Benutzers ausgeführt werden.

In der neuen Version wurden ebenfalls Fehler entfernt und Kompatibilitätsprobleme mit Safari und PHP/FastCGI behoben. Ein Filter für Kommentare soll zusätzlich Schwierigkeiten mit Layouts behben.
Quellen und Hinweise:

• Deutschsprachiger WordPress Developer Blog
• English WordPress Developer Blog
• SQL-Injection security advisory for WordPress 2.0.5 and older
• XSS Security Advisor for WordPress 2.0.5 and older

php enthält mehrere Fehler und sollte dringend von Benutzern aktualisiert werden.
Durch einen Cross site scripting Fehler war es möglich benutzern durch private Nachrichten Inhalte unter zu schieben. Dazu wurde eine mangelhafte Überprüfung von upload Verzeichnissen für Avatare korrigiert.

Die aktuelle Version von phpBB 2.0.22 steht allen Nutzern zum Runterladen bereit. Die deutschen Übersetzungen für phpBB werden noch bearbeitet und sollen demnächst zur Verfügung stehen.
Quellen und weitere Hinweise:

• Release Information auf Englisch
  
• Release Informationen auf Deutsch

Auch das unter den Nutzern als sehr sicher geltende Typo3 zeigt Schwächen. Wie die Entwickler warnen lässt sich Typo3 Systembefehle unterschieben. Damit  lassen sich mit den Rechten des Benutzers jegliche Befehle auf dem System ausführen. Allen Nutzern wird empfohlen ihre Version zu aktualisieren. Auf der Typo3 Seite stehen gepatchte Version zur Verfügung.

Von dem Fehler sind alle Versionen ab Typo3 3.7 betroffen und sollten so schnell wie möglich aktualisiert werden, da für das Ausnutzen des Fehlers keine Anmeldung an Typo3 erforderlich ist!

Der Fehler besteht in dem Modul rtehtmlarea. Dieser ist ab der Typo3 Version 4.X standardmäßig aktiviert und reist damit ein riesiges Loch in der Anwedung und den Server selbst. Bei bestehenden Lokal User Lücken wäre der Benutzer damit in der Lage das ganze System zu übernehmen, also zu „root“-Rechten zu gelangen.
Das Modul dient der Rechtschreibprüfung und nutzt dazu die Sprachüberprüfung „aspell“ zum Prüfen der Eingaben. Hier wird eine unzureichende Filterung der Eingaben durchgeführt, was dem Angreifer erlaubt Systembefehle zu übergeben.

Quellen und weitere Hinweise:

• Typo3.org Meldung
• Sec-Consulting Meldung

Die neue WordPress Version 2.0.5 bringt keine großen Neuerungen mit sich, sondern dient der Pflege von Fehlern und insbesondere Sicherheitsfehler.

Jeder Benutzer von WordPress sollte so schnell wie möglich auf die neue Version aktualisieren, da hier als 50 Fehler behoben wurden.

Bei mir verlief das Update ohne Schwierigkeiten. Man sollte einfach der Anleitung folgen und die besagt:

1. Die alte Version von WordPress sichern
2. Datenbank sichern – sicher ist sicher 😉
3. Alle Plugins deaktivieren, fall Diese zu der neuen Version inkompatibel sein sollten (wo ist Reiz zu Risiko 😀 )
4. Alte Version von WordPress umbennen
5. Neue Version entpacken und auf die Stelle der alten Installation kopieren
6. Von der alten Version die folgenden Dateien kopieren:
   – wp-content (Ordner mit Themes und anderen tollen Sachen)
   – wp-config.php (Konfigurationsdatei)
7. die http://www.deineadresse.com/wp-admin/upgrade.php im Browser ausführen, damit alle Aktualisierungen durchgeführt werden.
8. Hoffen, dass alles glatt gelaufen ist und seinen Blog mal testhalber aufrufen
9. Sich freuen, dass alles funktioniert hat
10. Den Entwicklern danken 😉

Weitere Informationen sind hier zu haben:

• http://wordpress.org/development/2006/10/205-ronan/
• http://blog.wordpress-deutschland.org/2006/11/02/wordpress-205-de-edition-und-upgradepaket.html

Die gemeldete Sicherheitslücke in mod_rewrite wurde von den Apache Entwicklern am 28.07.2006 behoben. Gentoo und Debian stellten Heute aktualisierte Versionen der Pakete zur Verfügung, die den Fehler beheben.
Jedem Administrator wird empfohlen die Version vom Apache Webserver zu aktualisieren, da sich über die Lücke eventuell beliebiger Code einschleußen und ausführen lässt. Wer den Webserver selbst compeliert hat, sollte seine Version dringend aktualisieren.

Die beschriebene Schwachstelle im mod_rewrite-Modul wird möglich, wenn der Angreifer den Anfang der URL umschreiben kann und die Flags Forbidden, NoEscape oder Gone nicht gesetzt sind. Durch den Fehler kann ein 1-Byte-Pufferüberlauf auftreten, über den eventuell eingeschleuster Code ausgeführt werden kann.

Dieser Sicherheitsfehler wird als kritisch eingestuft, wenn auch bis jetzt keine Exploits veröffentlicht wurden. Jeder Administrator sollte seine Apache Version aktualisieren!

Weitere Informationen zu der Meldung:

• Meldung auf Mitre
• Apache Announce Meldung
• Debian Sicherheitsupdate für Apache 2.0
• Debian Sicherheitsupdate für Apache 1.3
• Gentoo Sicherheitsmeldung für alle Apache Versionen

Am 29.07.2006 ist eine aktuelle Version 2.0.4 von WordPress erschienen, dass mehrere Sicherheitslücken und über 50 andere Fehler behebt. Jeder Nutzer wird aufgefordert ihre Version so schnell wie möglich auf die aktuelle Version zu aktualisieren.

Die Aktualisierung ist gänzlich einfach. Man überschreibt seine alte Version mit der aktuellen Version oder halt nur die gepatchten Dateien. Jeder sollte allerdings vor dem Update seine aktuelle Version sichern, um Schäden bei Problemen zu minimieren.
Die aktuellen Versionen sind auf den WordPress Seiten zu finden:

• Deutsche WordPress Version
• Englische WordPress Version

Meldungen der Entwickler sind auf den folgenden Seiten zu finden:

• Release und weitere Informationen zu dem Release 2.0.4 auf Englisch
• Release und weitere Informationen zu dem Release 2.0.4 auf Deutsch

Viele Entwickler benutzen Regular Expressions um Eingaben zu validieren oder Inhalte auf ihre Korrektheit zu prüfen.

Die von RedTeam Pentesting gefundene Sicherheitslücke in der PHP-Funktion eregi() stellt eine besondere Gefahr dar. Die Funktion ist in der Programmiersprache C programmiert und erkennt das Null-Terminierungszeichen „\0“ als Ende des Strings. Laut RedTeam Pentesting werden alle Zeichen nach dem Null-Terminierungszeichen nicht mehr beachtet und damit nicht validiert.

Das Beispiel in dem Heise-Newsticker verdeutlicht das Problem: Heise-Newsticker Meldung

Das Verhalten der eregi() Funktion ist keine neue Erkenntnis, sondern schon lange bekannt. Der älteste Bugtraq Eintrag zu dieser Funktion datiert auf das Jahr 2002. Die Antwort zu diesem Problem war ein simpler Eintrag: „Eregi ist nicht binary safe“. Das bedeutet man kann Überprüfungen mit dieser Funktion ganz einfach umgehen indem man ein Null-Terminierungszeichen einfügt und die weiteren Inhalte ohne Validierung übergibt.

Das größere Problem ist, dass sich kaum ein Programmierer die vollständige Dokumentation zu dieser Funktion durchliest und damit nicht weiß, dass die Funktion gefährlich ist!

Das Problem kann man mit Magic Quotes umgehen, die Sonderzeichen wie ‚, „, \ und NULL in einer Zeichenkette automatisch einen Backslash(\) voranstellt. Eine Saubere Lösung wäre aber der Einsatz der Perl-Syntax-kompatiblen preg_*-Funktion.

Quellen und Informationen:

• Heise Newsticker Meldung

• Unauthorized password recovery in phpBannerExchange, Sicherheitsmeldung vom RedTeam Pentesting

• Authentication bypass in phpBannerExchange, Fehlermeldung vom RedTeam Pentesting