Wordpress-Lücken: TecChannel-Interview mit dem Entdecker
Vor kurzem hat Benjamin Flesch eine Reihe von Zero-Day-Schwachstellen in Wordpress 2.2.1 gefunden (wir berichteten), die nun sein selbst programmierter Wurm beseitigen soll. Wir haben den jugendlichen Sicherheitsexperten im Interview zu seinen Entdeckungen befragt.
TecChannel: Wie sind Sie auf diese Lücken gestoßen?
Benjamin Flesch: Am Freitag vor einer Woche habe ich an meinem Blog-Theme rumgebastelt. Dabei bemerkte ich einige Funktionen von Wordpress, die mir vorher noch nie aufgefallen waren, etwa Blogroll importieren, User / Datenbanken von anderen Feeds portieren. In alter Manier eines Websicherheits-Besessenen habe ich auf dieser neuen Spielwiese das Übliche gemacht: Alles, was mein Browser an Wordpress sendete, war manipuliert, um die Software aus der Reserve zu locken ;-)
Im Laufe der Zeit habe ich so eine Sicherheitslücke nach der anderen gefunden. Daraufhin stellte sich natürlich die Frage, was man mit so einem Haufen an Zero-Days macht: Ich meldete mich bei Wabisabilabi (Anmerkung der Redaktion: Eine Plattform, auf der Sicherheitslücken versteigert werden, siehe hier) an, was mir aber dann zu riskant erschien, auch im Bezug auf § 202c (Anmerkung der Redaktion: Der neue Anti-Hacker-Paragraf, siehe hier).
Schließlich kam ich auf die Idee, die gefundenen Sicherheitslücken dazu zu benutzen, die Blogs sicherer zu machen. Und das alles automatisch! - Die Idee vom Wordpress Blog Wurm hatte sich in meinem Kopf festgesetzt. Daraufhin werkelte ich an dem AJAX-Wurm, den Ihr jetzt auf meinem Blog veröffentlicht seht, und nach ca. fünf Stunden stand das komplette Programm.
TecChannel: Wie haben die Wordpress-Entwickler Ihre Entdeckungen aufgenommen? Gibt es bereits Informationen, wann die Lücken behoben werden?
Benjamin Flesch: Ich habe alle Lücken direkt nach meinem Blogpost in den Wordpress-Bugtracker eingetragen.
Schon nach einer Stunde hatte ein Programmierer namens "Nazgul" die Tickets zugeordnet und meine Patches auf offiziellen "Wordpress-Standard" korrigiert, soll heißen, dass er beispielsweise statt meinem RegEx-Hickhack die Wordpress-internen Filterungsfunktionen als Patch vorschlägt (meine vorgeschlagenen Workarounds funktionieren natürlich auch!).
In den Tickets steht, dass die Lücken im 2.2.2er-Release geschlossen sind, direkten E-Mail-Kontakt mit einem Mitglied der Developer hatte ich bisher leider noch nicht.