Hintertür in WordPress Plugins “AddThis”, “WPtouch”, “W3 Total Cache”

In den Wordpress Plugins “AddThis“, “WPtouch” und “W3 Total Cache” wurde eine Hintertür entdeckt. Diese Hintertür hat dafür gesorgt, dass heute Vormittag die WordPress-Entwickler alle Passwörter für WordPress.org zurückzusetzen mussten. Es wird angenommen, dass nicht die Entwickler selbst die Hintertür eingebaut haben, sondern dass die Plugin Repositories von einem oder mehreren Angreifern manipuliert wurden, aber die Details sind noch nicht bekannt und wie die Hintertüren in die Plugins gelangt sind ist noch nicht endgültig geklärt. Momentan wird das wird das Problem noch analysiert.

WordPress Administratoren, die eines oder mehrere der Plugins im einsatz haben, sollten dringend ein Update einspielen. Die Entwickler haben die älteren Versionen ohne Backdor eingespielt und diese zum download zur Verfügung gestellt. Mit dem Update werden dann die potenziellen Backdoors wieder aus dem System entfernt. Unklar ist, wie man erkennt, dass der

Ich habe hier in dem Blog WPtouch im Einsatz und gerade folgende Version aktualisiert.

http://downloads.wordpress.org/plugin/wptouch.1.9.29.zip

Original Nachricht

http://wordpress.org/news/2011/06/passwords-reset/

WPtouch Details

Im WPTouch Log kann man noch gut sehen, was hier in den letzten Stunden passiert ist:

 

  • 22 hours barry Revert changes from [399280]
    Barry macht ein paar Änderungen Rückgängig
  • 22 hours barry Revert [399276]
    Barry macht ein paar Änderungen Rückgängig
  • 18 hours barry Revert [399588] for 1.9.28
    Barry macht ein paar Änderungen Rückgängig
  • 17 hours nacin Force 1.9.29.  @399590   17 hours nacin Committing 1.9.29 tag.
    Eine neue Version 1.9.29 wird erzeugt
  • 8 hours bravenewcode updated change log for next release, removed duanestorey and dalemugford …
    Die User  duanestorey und dalemugford werden entfernt (Siehe Screenshot weiter unten)
  • 8 hours bravenewcode Added nonce checking for redirect after switching between mobile/desktop …
  • 8 hours bravenewcode Adjusted formatting, moved actual redirect code

 

Wer es noch genauer wissen möchte, kann sich mal mein Diff log ansehen. Ich habe mal die aktuelle Version 1.9.29 mit den letzten 3 Versionen verglichen. Leider kann man die Hintertür nicht mehr finden. Die Entwickler haben alle Spuren beseitigt und nur noch den “BraveNewCode” hinterlassen :-) .

wptouch-diff-1.9.29-1.9.26

wptouch-diff-1.9.29-1.9.27

wptouch-diff-1.9.29-1.9.28

BraveNewCode gefällt mir :-) . Die anderen beiden Autoren haben ja laut dem wptouch log nicht mehr viel zu melden.

 

Zusammenfassend lässt sich sagen, dass man wohl besser ganz schnell 1.9.29 installiert.

PS: Wer noch die alte Version 1.9.28 hat, kann sie mir gerne mal per Mail schicken. Ich würde mir gerne mal ansehen, was hier für eine Hintertür eingefügt wurde.

 

 

 

Michael Jentsch

Michael Jentsch arbeitet seit 2006 bei der Itellium Services GmbH als Entwickler und Software Architekt. Er ist spezialisiert auf Java basierte Web-Applikationen und E-Commerce. Neben dem Beruf interessiert er sich auch für Suchmaschinenoptimierung und ist engagiert in vielen Open Source Projekten im Web Umfeld. Sie erreichen ihn per E-Mail unter [email protected].

More Posts

Weiterführende Themen:

  1. Flickr WordPress Plugin (EN)
  2. Ist Microsoft wirklich so verzweifelt oder ist Google jetzt total größenwahnsinnig?
  3. PHP Cache V0.1 – M-Software.de
  4. WordPress XML-RPC Ping-Dienst
  5. Social Bookmark WordPress Plugin

Comments

  1. Wegwerfemail says:

    Danke für die Info. Hoffentlich waren das echt nur die drei Plugins..

    • Michael Jentsch says:

      Hi,

      laut Aussage von wordpress.org sollen es nur die 3 Plugins gewesen sein. Aber in Zukunft werde ich wohl auch mal genauer hinschauen was ich mir für Plugins installiere. Bisher habe ich immer auf Update geklickt und darauf gehofft, dass alles OK ist. Aber wer möchte schon gerne eine Hintertür im Blog haben, über die alles mögliche ausspioniert werden kann. Alleine die MySQL Zugangsdaten sind ja mit Leichtigkeit für jedes Plugin abzufragen und zu übertragen.
      Leider gibt es kein Patentrezept, mit dem man solche Sicherheitsprobleme beheben kann – oder?

  2. Kai says:

    Hallo,

    danke für den Hinweis, ich nutze in einigen WP`s Addthis, sind Informationen bekannt ob die Sicherheitslücke in den aktuellen Versionen der Plugins geschlossen wurden?

    Viele Grüße,
    Kai

"));