WordPress 2.8.3 enthält schwere Sicherheitslücke

In der aktuellen WordPress Version 2.8.3 kann ein Angreifer eine Schwachstelle ausnutzen, um den Admin auszusperren. Hierbei wird ein Fehler im Mechanismus für das Zurücksetzen des Passworts ausgenutzt. Bis ein Patch verfügbar ist, kann man die Lücke wie folgt schließen:

Öffnet in einem Editor die Datei wp-login.php in eurer aktuellen WordPress Installation. Springt zur Zeile 190 und ersetzt die Zeile

if  ( empty( $key ) )

durch

if  ( empty( $key ) || is_array( $key ) )

So sieht also der neue Codeblock aus:

if ( empty( $key ) || is_array( $key ) )
return new WP_Error(‚invalid_key‘, __(‚Invalid key‘));

if ( empty( $key ) || is_array( $key ) )

return new WP_Error(‚invalid_key‘, __(‚Invalid key‘));

Sollte man euch bereits ausgesperrt haben, so empfiehlt WordPress die Verwendung eines Notfallscripts, mit dem ihr euren Zugang wieder freischalten könnt. Hierfür müsst ihr per SSH auf euren Webspace zugreifen können.
Links:

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Time limit is exhausted. Please reload CAPTCHA.