Auf WordPress.org ist das passiert, was man wohl als „worst case“ bezeichnen kann. Ein Hacker hat sich Zugang zu einem der WP.org-Server verschafft und den Download der Version 2.1.1 modifiziert.

Um es direkt vorneweg zu sagen: die DE-Edition 2.1.1 war nicht davon betroffen, wurde nicht verändert und enthält keinen schadhaften Code.

Nachfolgend die Übersetzung des offiziellen Statements aus dem Entwickler-Blog:

Die ganze Geschichte in Kurzfassung: Wenn ihr WordPress 2.1.1 in den letzten 3 bis 4 Tagen heruntergeladen habt, enthalten eure Dateien wahrscheinlich eine Sicherheitslücke. Diese wurde von einem Cracker eingebaut und ihr solltet eure Installationen unverzüglich auf die Version 2.1.2 updaten.

Die ausführliche Fassung: Heute morgen erhielten wir eine Mitteilung an unsere Mailadress für Sicherheitsbelange, in der von ungewöhnlichem und höchst angreifbarem Code in WordPress berichtet wurde. Wir haben die Angelegenheit untersucht und es stellte sich heraus, das der Download der Version 2.1.1 modifiziert und der Originalcode ersetzt worden ist. Wir haben die Website sofort heruntergefahren, um zu untersuchen was passiert ist.

Es wurde festgestellt, das sich ein Cracker Zugriff auf einen der „wordpress.org“-Server verschafft hatte und diesen Zugriff dazu benutzt hat die Downloaddatei zu verändern. Der betroffene Server wurde für weitere Untersuchungen heruntergefahren und es stellte sich heraus, daß die Downloaddatei der Version 2.1.1 (als einzige) von diesem Angriff betroffen war. Es wurden zwei WP-Dateien dahingehend verändert, daß sie Code enthielten, der die externe Ausführung von PHP-Code ermöglicht.

Dies ist die Art von Sachen die wir alle nicht erleben möchten, aber es ist passiert und jetzt wollen wir so gut wie möglich damit umgehen. Auch wenn nicht alle Downloaddateien der Version 2.1.1 betroffen sind, erklären wir die gesamte Version zum gefährlichen Risiko und haben die neue Version 2.1.2 freigegeben. Diese enthält geringfügige Updates und überprüfte Dateien. Desweiteren werden wir zusätzliche Massnahmen treffen, um zu verhindern, daß so etwas noch mal vorkommen kann. Nicht zuletzt die Notwendigkeit einer zeitnahen externen Überprüfung des Downloadpakets, so das wir umgehend wissen ob irgendetwas nicht so läuft, wie es laufen soll.

Als letzte Massnahme haben wir die Passwörter einer Reihe von Benutzern geändert die unter anderem über SVN-Zugänge verfügten. Es kann also sein, dass Ihr gegebenenfalls euer Forum-Passwort zurücksetzen müßt, bevor Ihr euch wieder anmelden könnt.

Was könnt Ihr machen um zu helfen?

Wenn euer Blog unter Version 2.1.1 läuft, aktualisiert umgehend und überschreibt ausnahmslos alle alten Dateien. Speziell die Dateien im Ordner „wp-includes“. Überprüft die Blogs von Freunden und Bekannten und wenn es einer von Ihnen mit der Version 2.1.1 betreibt, hinterlasst ihnen eine Nachricht. Wenn Ihr könnt helft Ihnen beim Upgrade.

Sofern Du der Betreiber eines Webhostingangebots oder ein Netzwerkadministrator bist, blockiere alle Zugriff auf die Dateien „theme.php“ und „feed.php“ und unterbinde alle HTTP-Anfragen mit den Zeichenfolgen „ix=“ oder „iz=“. Wenn Ihr Kunde eines WebHosters seit, sendet ihm eine Mail um ihn über das neue Release und die oben stehenden Informationen zu unterrichten.

Dank an Ryan, Barry, Donncha, Mark, Michael und Dougal, welche die Nacht durchgearbeitet haben um das Problem einzugrenzen und zu lösen. Ebenfalls Dank an Ivan Fratric der uns als erster von diesem Problem unterrichtet hat.

Fragen und Antworten:

Da dieser Vorfall höchst ungewöhnlich ist und ein neues Releas erfordert, haben wir die EMail-Adresse 21securityfaq@wordpress.org eingerichtet. Ihr könnt Fragen an diese Adresse senden und dieser Eintrag wird von uns dann im Laufe des Tages um zusätzliche Informationen ergänzt.

Ist das 2.0er-Release betroffen?

Es wurden ausschließlich Downloaddateien der Version 2.1.1 verändert. Wenn Ihr also irgendeine Version der 2.0er-Serie betreibt, sollte alles in Ordnung sein.

Was ist mit den Updates vom SVN?

Auch die Entwicklerversion wurde nicht gändert. Wenn Ihr also euer Blog über die SVN-Serie betreibt und aktualisiert, bestand für euch keine Möglichkeit die veränderten Releasepakete herunterzuladen.

——-

Die Version 2.1.2 steht zum Download bereit, siehe: WordPress 2.1.2 DE-Edition und Upgradepaket