image

WordPress dicht vervelend wachtwoord-lek

woensdag 12 augustus 2009, 12:08 door Redactie, 2 reacties

De populaire blogsoftware Wordpress heeft een zeer belangrijke update uitgebracht, die een kwetsbaarheid verhelpt waardoor een aanvaller vrij eenvoudig het administrator-wachtwoord kon resetten. Wordpress merkt op dat een aanvaller alleen het wachtwoord kon resetten, wat "vervelend" zou zijn. Het zou niet te misbruiken zijn om op afstand Wordpress blogs over te nemen. De onderzoeker die de proof-of-concept code op Full-Disclosure plaatste, merkt op dat een aanvaller via het lek het admin account van elke Wordpress installatie voor versie 2.8.4 kan compromitteren.

Reacties (2)
12-08-2009, 13:34 door Anoniem
Tsja en het vreemde hieraan is dat zo'n lek niet werkt op bijvoorbeeld 2.0. Ook heb ik ergens gelezen dat 2.71 niet vulnerable zou zijn. In ieder geval is het een lastig lek voor beheerders.

Applausje voor wordpress dat ze met zo'n snelle patch zijn gekomen ook al was het programmeertechnisch niet erg netjes afgehandeld.

// slr
12-08-2009, 17:28 door Anoniem
Het is wel een probleem als je dit wachtwoord kan raden omdat de gebruikte RNG niet goed is:
http://secunia.com/advisories/31737/ (fixed in 2.6.2).

Problemen alleen zijn vaak nog vrij onschuldig, maar samen zijn ze juist zo gevaarlijk. Nu zijn er hele volkstammen die weigeren te patchen omdat ze zich daar te goed voor voelen. Maar patchen is van levensbelang in deze tijd van snel internet en software monoculturen vol kleine lekjes en grotere lekken.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.