WordPress unsichere Passwortgenerierung • scip AG VulDB

VulDB: WordPress unsichere Passwortgenerierung

Allgemein

scipID: 3825
Betroffen: Wordpress bis 2.6.2
Veröffentlicht: 12.09.2008 (Stefan Esser)
Risiko: problematisch

Beschreibung

Taxierung der Schwachstelle

WordPress ist ein Weblog-Publishing-System (auch CMS), das vorwiegend bei der Erstellung von häufig zu aktualisierenden Websites, im Besonderen von Weblogs, eingesetzt wird. Es basiert auf der Skriptsprache PHP und benötigt eine MySQL-Datenbank. WordPress ist Freie Software, die unter der GNU General Public License lizenziert wurde. Die quelloffene Software stellen die Programmierer auf der Website kostenlos zum Download bereit. Die Entwickler von WordPress legen besonderen Wert auf Webstandards, Eleganz, Benutzerfreundlichkeit und leichte Anpassbarkeit der Software. Stefan Esser berichtet in einem Advisory, dass zur Generierung von Passwörtern ein Pseudo-Zufallszahlengenerator genutzt wird, dessen Komplexität unzureichend ist. Mittels Brute Force könnte so mit vergleichbar geringem Aufwand das automatisch generierte Adminpasswort erraten werden.

Wieder mal eine Wordpress-Lücke – diesmal vergleichsweise harmlose: Was Esser beschreibt ist korrekt und auch unschön, jedoch in der Praxis selten anzutreffen, zumal die meisten Benutzer das (unförmige) Passwort nach dem ersten Login ändern. Wer immer noch mit Standardpasswort unterwegs ist, sollte dieses spätestens in Konsequenz auf diese Lücke ändern. Allgemein sei das Einspielen des freigegebenen Updates allen Benutzern empfohlen.