Wie die Wordpress-Entwickler auf ihrer Homepage mitteilen, haben Angreifer einen Server des Projekts gehackt und das Download-Paket 2.1.1 durch eine Fassung ersetzt, die mit einigen Hintertüren zum Einschleusen von PHP-Code ausgestattet ist.
Über welche Schwachstelle die Angreifer in den Server eingedrungen sind, erläutern die Entwickler jedoch nicht. Die Analyse, für die das Team die Wordpress-Server vom Netz genommen hat, soll allerdings ergeben haben, dass lediglich das Wordpress-2.1.1-Paket manipuliert wurde. Weder im Quellcode-Verwaltungssystem SVN noch an anderen Stellen hätten Manipulationen stattgefunden.
Die Wordpress-Entwickler haben die Version 2.1.1 inzwischen als unsicher markiert und raten allen Wordpress-Nutzern, auf die aktuelle Version 2.1.2 umzusteigen. Mit dem Update haben sie nach eigenen Angaben auch einige nicht näher erläuterte Fehler behoben. Provider, die ihren Nutzern Wordpress als Dienst anbieten und die Software nicht aktualisieren können, sollten den Zugriff auf die Dateien theme.php und feed.php unterbinden sowie Anfragen mit den Zeichenketten ix= oder iz= ausfiltern.
<a href="http://wordpress.org/development/2007/03/upgrade-212/" target="_blank">Sicherheitsmeldung der WordPress-Entwickler</a>
Quelle: <a href="http://www.heise.de" target="_blank">Heise Security</a>
- Presseservice: Die obige Pressemeldung geben wir unverändert an Sie weiter. Die jeweilige Meldung liegt ausschließlich in der rechtlichen Verantwortung des jeweiligen Anbieters.