Wordpress-Lücken: TecChannel-Interview mit dem Entdecker

Sieben neue, teilweise hoch kritische Sicherheitslücken hat Benjamin Flesch in der beliebten Blog-Software Wordpress gefunden. Zudem hat er einen gutartigen Wurm geschrieben, der die Lücken beseitigen soll. Im TecChannel-Interview erläutert er die Hintergründe.

Vor kurzem hat Benjamin Flesch eine Reihe von Zero-Day-Schwachstellen in Wordpress 2.2.1 gefunden (wir berichteten), die nun sein selbst programmierter Wurm beseitigen soll. Wir haben den jugendlichen Sicherheitsexperten im Interview zu seinen Entdeckungen befragt.

TecChannel: Wie sind Sie auf diese Lücken gestoßen?

Benjamin Flesch: Am Freitag vor einer Woche habe ich an meinem Blog-Theme rumgebastelt. Dabei bemerkte ich einige Funktionen von Wordpress, die mir vorher noch nie aufgefallen waren, etwa Blogroll importieren, User / Datenbanken von anderen Feeds portieren. In alter Manier eines Websicherheits-Besessenen habe ich auf dieser neuen Spielwiese das Übliche gemacht: Alles, was mein Browser an Wordpress sendete, war manipuliert, um die Software aus der Reserve zu locken ;-)

Im Laufe der Zeit habe ich so eine Sicherheitslücke nach der anderen gefunden. Daraufhin stellte sich natürlich die Frage, was man mit so einem Haufen an Zero-Days macht: Ich meldete mich bei Wabisabilabi (Anmerkung der Redaktion: Eine Plattform, auf der Sicherheitslücken versteigert werden, siehe hier) an, was mir aber dann zu riskant erschien, auch im Bezug auf § 202c (Anmerkung der Redaktion: Der neue Anti-Hacker-Paragraf, siehe hier).

Schließlich kam ich auf die Idee, die gefundenen Sicherheitslücken dazu zu benutzen, die Blogs sicherer zu machen. Und das alles automatisch! - Die Idee vom Wordpress Blog Wurm hatte sich in meinem Kopf festgesetzt. Daraufhin werkelte ich an dem AJAX-Wurm, den Ihr jetzt auf meinem Blog veröffentlicht seht, und nach ca. fünf Stunden stand das komplette Programm.

TecChannel: Wie haben die Wordpress-Entwickler Ihre Entdeckungen aufgenommen? Gibt es bereits Informationen, wann die Lücken behoben werden?

Benjamin Flesch: Ich habe alle Lücken direkt nach meinem Blogpost in den Wordpress-Bugtracker eingetragen.

Schon nach einer Stunde hatte ein Programmierer namens "Nazgul" die Tickets zugeordnet und meine Patches auf offiziellen "Wordpress-Standard" korrigiert, soll heißen, dass er beispielsweise statt meinem RegEx-Hickhack die Wordpress-internen Filterungsfunktionen als Patch vorschlägt (meine vorgeschlagenen Workarounds funktionieren natürlich auch!).

In den Tickets steht, dass die Lücken im 2.2.2er-Release geschlossen sind, direkten E-Mail-Kontakt mit einem Mitglied der Developer hatte ich bisher leider noch nicht.