Software Update WP 2.0.7 – Update Alarm

Kleine Überraschung. Beim morgendlichen Lesen meiner Mails schneite mir die folgende Moderationsmail mit dem Titel „Software Update WP 2.0.7“ in Haus:

Autor : wordpress (IP: 141.39.213.xxx , yyyy.rmz.uni-lueneburg.de)
E-Mail : b@m.an
URI : http://wordpress.org
Kommentar:
content=“WordPress 2.0.4″

Scheint wohlnicht geklappt zu haben mit dem Update.

Das habe ich dann auch festgestellt. Wahrscheinlich durch Ausnutzung eines SQL Injection Exploits war es möglich, einem fremden WordPress Weblog ungefragt einen Artikel unterzujubeln. War also doch ein wichtiges Wordpress Upgrade, dieses WP 2.06 Update. Dank Batman von der Uni Lüneburg sind wir jetzt ein bisschen schlauer. Ich muss bei Gelegenheit mal die IPs checken, nicht undenkbar, dass Batman nicht nur der Hinweisgeber in diesem Fall gewesen ist …

Der resultierende Weblog-Eintrag sah dann wie folgt aus:

Software Update WP 2.0.7
11. Januar 2007
Aufgrund diverser Bugs und Sicherheitsmängel wurde ein Upgrade der Blog-Software notwendig. Ab sofort werkelt jetzt WordPress 2.0.7 unter der Haube unseres Detektiv-Blogs. Schade, dass es diese Version noch nicht gibt. Frohes Neues!

Der ungeladene Autor hat sich die Mühe gemacht und einen alten Text zum WordPress Update 2.04 umfrisiert. Das betroffene Weblog ist jetzt auf WP 2.06 upgedatet worden, damit ist dann hoffentlich Ruhe mit dem Exploit. Sicher bin ich mir da aber nicht.

In diesem Zusammenhang liegt es nahe zu vermuten, dass der Hack des StudiVZ Blogs mit eben diesen Mitteln erfolgt ist. Das StudiVZ Blog ist seit heute nacht nicht mehr zu erreichen. Ich würde mal empfehlen ein Update einzuspielen und die Passwörter auszutauschen ;-)

Aber mal Scherz beiseite, es herrscht Update Alarm. Seht zu dass ihr eure Blogs updated, bevor es andere für euch tun!