Zum Inhalt springen

Archiv für "Sicherheitslücke"

Google Conditional Hack

Das Wochenende habe ich damit verbracht, mich über eine relativ neue Art von Hack schlau (naja) zu machen, den "google conditional hack": Irgendwann letztes Jahr tauchten vermehrt Seiten auf, die bei einem normalen Besuch mit dem Webbrowser ganz normal aussahen, sobald sie jedoch mit einem User-Agent-String, der auf einen Suchmaschinen-Bot schliessen ließ, besucht wurden, zeigten sie auf einmal jede Menge Viagra- und anderen Medikamentenspam inklusive Links, die allerdings auf weitere Seiten innerhalb der Website verwiesen, wo dann ebenfalls Viagraspam auftauchte.

Das Perfide an diesem Hack: Man merkt zunächst nicht, dass die Seite betroffen ist, für normale Besucher sieht alles ...

Kritische Sicherheitslücke in aktuellen WordPress Versionen

Gestern hat ein User des deutschen WP-Forums beschrieben, wie ein beliebiger registrierter User auf Adminfunktionen, für die er eigentlich keine Rechte hat, zugreifen kann. Da es unter anderem die Einstellungen der Permalinks und die Plugins betrifft, kann er ziemlich viel Mist anstellen.

Die Lücke ist dem WordPress-Securityteam gemeldet worden.

Betroffen sind alle 2.8er Versionen und 2.7, ob noch ältere Versionen ebenfalls anfällig sind, ist unklar.

Bis ein Patch erscheint, empfiehlt es sich, die User-Registrierung abzuschalten und unbekannte User zu löschen.

Der Hack ist übrigens so einfach, dass man sich wirklich fragt, wie das durchrutschen konnte. Ich werde ihn hier nicht beschreiben, konnte ...