Távoli admin jelszó alaphelyzetbe állítást tesz lehetővé egy WordPress sebezhetőség

 ( trey | 2009. augusztus 11., kedd - 13:04 )

A WordPress névre hallgató, kedvelt blogmotor legfrissebb stabil verziója (<= 2.8.3) egy olyan sebezhetőséget tartalmaz, amely lehetővé teszi a távoli támadó számára az adminisztrátori jelszó reset-elését. A hiba kihasználásához csak az "elveszett jelszó" linket kell speciálisan formázni. A hibát Laurent Gaffié jelentette be tegnap. Levele az PoC példával elolvasható itt. Először a bejelentés még arról szólt, hogy a hibát ki lehet használni az admin account feltöréséhez, de később a bejelentő "javította" magát és módosította a "to compromise"-ot, "to reset"-re.

A bejelentés pillanatában javítás még nem volt elérhető a WordPress projekttől.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

A következő HOVDon már másra szavazok. Nem emiatt...

Éspedig?

Nem olyan sokoldalú mint amilyennek elsőre tűnik, tele van branddel, bejelentkezett felhasználó - mondjuk kommentekhez - olyan dolgokat is lát amikhez semmi köze, átgondolatlan, de most ez a hurok ami kilóg...

Mit lat a kommenteknel egy bejelentkezett felhasznalo amit nem kellene?

Várakozó cikkek listájának összegző fejlécét, meg ilyesmit, ami inkább admin felületen kéne hogy megjelenjen. Van rá plugin ami visszadobja a főoldalra, de akkoris.

Oké és mit ajánlasz helyette?

Írj egy sajátot.

Nem ismerem a WP-t, de meglepne, hogy egy VAGY kapcsolat bármit is megoldana.

de később a bejelentő "javította" magát és módosította a "to compromise"-ot, "to reset"-re.

Miért, a "to reset" nem jelent ezesetben "to compromise"-t is?

így nem derül ki hogy mindenhol m1c1k3 a jelszavad

Szerintem nem. A "reset" ebben az esetben azt jelenti, hogy generál egy új jelszót, de azzal - hacsak ki nem találod mit generált - nem fogsz tudni bejelentkezni.

--
trey @ gépház

Jaértem, így ok. Thx

Igy viszont nem is olyan nagy biztonsagi res, max az oldal tulajdonosa sem tud belepni:)
Bar ha van egy PHPMyAdminja, vagy egyeb adatbazis kezeloje, esetleg vagja az SQL-t, akkor modosithatja sajatjara. Csak atkodolja a jelszavat md5-el es beirja valamilyen modon a tablaba... :)

Az oldal admin-ja is be tud lépni. Feltételezem tud kérni új jelszót ha elfelejtette.

--
trey @ gépház

És most már egy lépéssel egyszerűbben!
(Lehet hogy csak a marketingje rossz a WP-nek?)

s/Feltételezem tud kérni új jelszót ha elfelejtette/Feltételezem tud kérni új jelszót ha elfelejtette vagy rosszindulatúlag átírta/

--
trey @ gépház

újrageneráláskor automatikusan kap erről egy mailt, benne egy linkkel, amivel be tudsz lépni.

_________________________
Hogyan?

Az oldal admin-ja is be tud lépni.

Feltéve ha nem 1 másodpercenként generáltatnak neki új jelszót a támadók... >;D

Jah :)

--
trey @ gépház

En elfogult Wordpress felhasznalo vagyok, tobb eve hasznalom is, es szerintem nagyon jol fejlesztik. Hibak mindig minden programban vannak, ez szinte termeszetes. Es addig jo, ameg bejelentik ezeket es javitjak, nem sajat hasznara forditja a felfedezo.

Kéne egy opció a wordpressbe az elfelejtett jelszó funkció tiltására. Tudomásom szerint jelenleg csak hackeléssel kapcsolható ez ki.

És mi van, ha valaki poénból állandóan új jelszót kér?

Nem kell elfelejteni a jelszót, ilyen egyszerű.

Bexoptam én is, de valóban "csak" resetről van szó. Az új jelszó a beállított mail fiókba érkezik.

Ja, és nálam 2.8 -nál sikerült.

********************
"...ha nem tévedek!" (Sam Hawkens)
http://holo-media.hu

Ott a pach, mikor belinkeltem már, még nem alkalmaztad?

_________________________
Hogyan?

fuh akkor frissíthetek 2.8.3-ra. ;) Egyébként, ha a támadó nem ismeri az admin felhasználónevét, akkor nem nagyon tud mit csinálni, ugye?

akkor az első admin jogú userrel csinalja ezt (első = legkisebb ID-jű admin user, akármilyen névvel)

amúgy a patch működik régebbivel is, azonban más miatt is ajánlott 2.8.3-ra frissíteni. (svn-ben amúgy már benne van ez a patch)

_________________________
Hogyan?

Az admin felhasználóneve admin (by default, nem tudom, hogy megváltoztatható-e). A generált jelszót pedig nem kapja meg a támadó, mivel az az admin mail fiókjába postázódik, ha megfelelően be van állítva.

********************
"...ha nem tévedek!" (Sam Hawkens)
http://holo-media.hu

megváltoztatható, törölhető, stb.

_________________________
Hogyan?

"fuh akkor frissíthetek 2.8.3-ra. ;)"

Az is sebezhető. Én inkább lezártam a blogomat és megvárom a friss kiadást, szerintem rövidesen kijön.

********************
"...ha nem tévedek!" (Sam Hawkens)
http://holo-media.hu

már itt van. de komolyna, olyan nehéz azt az egy sort átírni?

_________________________
Hogyan?

egy magyiar blogon valaki azt mondja h az a megoldas el kene hinni?

működik. nézd meg a 2.8.34-et, ugyanez van benne.

szóval amit magyar fórumon (és nem blogon) írnak, az csakis hülyeség? akkor mit keresel itt a hupon?

_________________________
Hogyan?

>az csakis hülyeség

nem, de ilyen esetekbe jobban szeretem az "eredeti" patcheket, pl: hivatalos levlista ilyenek

>akkor mit keresel itt a hupon?

hat nem az elet ertelmet

+1, köszi csardij, de nem szeretem a "kóbor foltokat".

********************
"...ha nem tévedek!" (Sam Hawkens)
http://holo-media.hu

legközelebb használni fogom az [irónia] taget, [irónia]becsszó[/irónia]. :)

Nem még nem, de megnézem, ty.

********************
"...ha nem tévedek!" (Sam Hawkens)
http://holo-media.hu

Jó, hogy az emlősöknél divatos a szopás,
Enélkül unalmas lenne a szaporodás! :P

ezt is biztos a TV-bol szedted ossze :))

/* bocs az esetleges helyesirasi hidakert */

hát mert a szamárfüles tankönyvekből és az okos pofonokból
semmit sem tanultam :)

:)))

gondolom a neveles(ed|em|unk) is hagy kivannivalot maga utan...

btw melyik osztalyt jartad tobbszor? :D

/* bocs az esetleges helyesirasi hidakert */

kizart, hogy a tejporrol lenne szo...

valoszinubb, hogy a himivarsejteket tartalmazo folyadekrol... :))

/* bocs az esetleges helyesirasi hidakert */