Sidebar
ein-/ausblenden

Schwachstelle in Cookie-Authentifizierung von WordPress

Plugin für WordPress SEO

Anzeige

Durch einen Design-Fehler in der Authentifizierung der Blogsoftware WordPress kann ein Angreifer einfacher als gedacht ein System kompromittieren. Die meisten Content-Management-Systeme und Blogs speichern die Passwörter der Anwender als Hashes in der zugrundeliegenden Datenbank. Erhält ein Angreifer etwa über eine SQL-Injection-Lücke Zugriff auf die gespeicherten Hashes in der Datenbank, kann er damit zunächst nichts anfangen. Um an das ursprüngliche Passwort zu gelangen, muss er den Hash beispielsweise mit den Einträgen einer sogenannten Rainbow-Table vergleichen. Unter Umständen kann dies einige Zeit in Anspruch nehmen, bei langen Passwörtern kann dies auch gänzlich scheitern, da die Tabellen dafür noch nicht vorbereitet sind.

Unter WordPress kann sich der Angreifer laut eines Berichtes von Steven J. Murdoch von der Universität Cambridge aber eine Eigenheit zunutze machen, um ohne Passwort den Zugriff zu erhalten. Dazu bastelt er sich anhand des Hashes einfach ein Authentifizierungs-Cookie und verwendet diesen bei Zugriffen auf das System. Laut Murdoch, der auch zum Kernteam des Anonymisierungsprojektes The Onion Router (TOR) gehört, muss man dafür nur den ausgelesenen MD5-Hash nochmals mit MD5 hashen. Das von WordPress zur Authentifizierung benutzte wordpresspass-Cookie hat dann laut Bericht den Aufbau:

wordpresspass_<MD5(url)>=MD5(user_pass)

wobei die URL offen einsehbar ist und user_pass dem Hash (MD5(password)) entspricht. Zusammen mit dem wordpressuser-Cookie (wordpressuser_=admin) soll dann der Zugriff auf den Admin-Account von WordPress möglich sein. Die Entwickler von WordPress sollen über das Problem informiert sein, bislang aber noch nicht reagiert haben.

Nach Angaben von Murdoch wird der Designfehler schon aktiv ausgenutzt. Allerdings lässt er offen, wie die Angreifer an den Passwort-Hash gelangt sind. In der aktuellen Version von WordPress sind keine SQL-Injection-Schwachstellen bekannt. Ältere WordPress-Installationen können jedoch durchaus noch verwundbar sein.

Betroffene Versionen

WordPress 1.5 - 2.3.1 (including current version, as of 2007-11-19)

Quellen

Weitere Links

Artikel #549, 20. November 2007 · WordPress · 6 Kommentare · Kommentar schreiben
Tags: , , ,
Kommentar-Feed zum Artikel · TrackBack URL · Kurzlink

«
»

6 Kommentare zu „Schwachstelle in Cookie-Authentifizierung von WordPress“

  1. 1
    Kommentar von SuMu
    20. November 2007 um 15:18

    dann gibt es bestimmt bald wieder einen patch oder ein upgrade ...

  2. 2
    Kommentar von Flori
    20. November 2007 um 15:51

    "dann gibt es bestimmt bald wieder einen patch oder ein upgrade ..."

    was ja auch durchaus wünschenswert wäre...!

  3. 3
    Kommentar von Henning
    20. November 2007 um 17:52

    Sehe ich das richtig, dass ich diese Lücke quasi zumachen kann, indem ich den User admin lösche und einem anders benannten User Admin-Rechte gebe?

  4. 4
    Kommentar von Frank Bültge
    20. November 2007 um 18:12

    @Henning: nein, der wordpressuser_ wird im Cookie übergeben, egal wie er lautet.

  5. 5
    Kommentar von Xel
    21. November 2007 um 01:52

    Das setzt dann jetzt vorraus, dass ich sowohl den Benutzer als auch den Hashwert des Passwortes kenne - oder täuscht mich das?

    Ergo kann das nur dann schief gehen, wenn jemand mindestens leseberechtigung auf meinem Blog oder einen Trojaner in meinem Rechner hat.

    Oder steh ich aufm Schlauch?

  6. 6
    Kommentar von Frank Bültge
    21. November 2007 um 07:41

    Ja, so habe ich es verstanden. Wie man daran kommt, ist nicht bekannt, nach Aussage des Autors, aber es wurde nachgewiesen, dass es geht.

Kommentar schreiben

Kommentarregeln: Bleib cool, kritisch ist in Ordnung, aber wenn du unhöflich bist, dann lösche ich deinen Kommentar. Bitte benutze deinen persönlichen Namen oder Initialen und nicht den Namen eines Unternehmens, dies würde als Spam gewertet und wird gelöscht. Der Zusammenhang zwischen Namen und URL sollte nicht offensichtlich auf Spam hindeuten! ♥ Ansonsten, vielen Dank für den Kommentar und viel Spaß mit meinem Blog.

E-Mail-Benachrichtigung bei weiteren Kommentaren.
Auch möglich: Abo ohne Kommentar.

Kommentar-Hilfe

händischer Spam:
Beachte die Kommentarregeln, jede Form von versuchtem Spam wird gelöscht. Warum und wieso steht in einem meiner Beiträge.

Bezug auf Textstellen:
Du kannst direkt bezug auf Textstellen im Beitrag nehmen. Dazu muss lediglich der Bereich im Artikel markiert werden; daraufhin erscheint ein Button, der den markierten Text in das Kommentarfeld übernimmt und als Zitat auszeichnet. Die Funktion ist nur bei aktivem JavaScript nutzbar.

xHTML:
Du kannst folgende Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <blockquote cite=""> <code> <pre> <em> <strong> <strike> <ul> <ul> <li>

Achte darauf, wenn du Code im Kommentar hinterlegen willst, dann muss der Code maskiert sein. Dann wird er nicht interpretiert. Der Code muss mit Hilfe von HTML-Entities dargestellt werden, d.h. dass man z.B. < als &lt; und > als &gt; einfügt.

E-Mail-Benachrichtigung bei neuen Kommentaren ?
Wenn der Haken in der Checkbox gesetzt ist, dann wirst du über neue Kommentare vie E-Mail informiert. Der Versand erfolgt nur, wenn du die URL in der Bestätigungs-E-Mail genutzt hast oder schon Abonnent hier im Blog bist.

Kommentar erscheint nicht:
Alle Kommentare werden manuell geprüft, freigegeben und nach Möglichkeit beantwortet. Bitte um etwas Geduld und Nachsicht.

Identifikationsbilder (Avatare):
Auf Gravatar.com kann man sich mit seiner E-Mail-Adresse registrieren und ein Bild hochladen, dann erscheint dieses Gravatar hier und in vielen weiteren Blogs.

Spamschutz:
Das Kommentarformular ist mit einem Spamschutz ausgerüstet. Solltest du diesen Artikel ohne JavaScript besuchen und kommentieren wollen, so muss du die Frage beantworten und das jeweilige Wort in das Textfeld eingeben.