Bij het doorspitten van mijn logfiles kwam ik een flink aantal regels tegen naar het bestand xmlrpc.php, een bestand dat bij WordPress hoort. Heb maar eens gezocht op Secunia en wat blijkt? Er blijkt een bug te zijn waardoor het mogelijk is om om gebruikersnamen en hashes uit de database te halen. Gelukkig is er ook een fix beschikbaar.
4 responses to “Exploit”
Om eerlijk te zijn vertrouw ik nu niet meer zo op WordPress. Denk dat ik je controle script overneem, misschien uitgebreid met alle categorieën. Heb op het WordPress forum nog maar eens een reactie geplaatst dat ik de communicatie ronduit slecht vindt. En wij zijn niet de enigen die dat vinden. Hoop dat ze er ook daadwerkelijk iets aan gaan doen.
Wat dat betreft is het systeem van phpBB een stuk beter. Gewoon een officiële mailinglijst, zodra er een security bug wordt gevonden wordt er direct gewerkt aan een oplossing en wordt deze officieel meegedeeld via de mailinglist.
Ik heb vanochtend mijn controle script aangepast voor WordPress. Vanaf nu kijkt deze elke ochtend of er een nieuwe fix voor het onderdeel security is. Nu maar hopen dat ze security fixes ook netjes onder deze category vermelden…
Ja, die heb ik gezien. Was net bezig een patch te maken. Denk dat ik voorlopig maar zelf de critical bugs in de gaten ga houden en handmatig de boel ga patchen. Vind dit een erg slordige manier van communiceren van WordPress.
Heb je toevallig al ticket 4422 gezien? In versie 2.2 en hoger zit een nieuwe XML-RPC API en deze heeft zo te zien de nodige kinderziektes…