12.05.2011
Sicherheit
Wordpress lässt üble Dateien zu
Autor: Dorothee Chlumsky
Die Blogging-Software Wordpress versäumt es, Dateien, die hochgeladen werden, gründlich zu prüfen. Böswillige Nutzer können auf diesem Weg den Webserver kapern.
Da Wordpress hochgeladene Dateien nicht genau genug überprüft, ist es möglich, PHP-Code als Bilddatei zu tarnen. Ein Angreifer muss dazu nur eine .phtml-Datei mit beispielsweise einer .gif-Endung versehen, berichtet Secunia. So kann er bösartigen PHP-Code auf den Webserver schleusen.
Die Experten stufen die Lücke allerdings nur als mittelmäßig kritisch ein, weil es zwei Faktoren gibt, die die Gefahr bannen. Das Abladen von Schadcode funktioniert nur, wenn der Angreifer im Backend "Autor"-Rechte hat. Außerdem muss der Apache-Server so konfiguriert sein, dass er den Mime-Typ für Mediendateien wie .gif und .jpeg ignoriert.
Wer ein Wordpress-Blog unterhält, sollte dennoch sichergehen und den Zugang zum Wordpress-Verzeichnis für Uploads (wp-content/uploads) beschränken. Eine Aktualisierung der Software hilft im Moment nicht, da der Fehler die aktuelle Wordpress-Version 3.1.2 (und möglicherweise auch ältere) betrifft.
Schellerer Ausbau
Hessen, OXG und Vodafone schließen Partnerschaft für Glasfaser
Vodafone und OXG starten gemeinsam mit dem Land Hessen eine umfangreiche Ausbau-Offensive für schnelles Internet. Bis 2030 wollen die Unternehmen Glasfaser-Anschlüsse für bis zu 520.000 Haushalte bauen.
>>
Konferenz
Wird generative KI Software-Ingenieure ersetzen? DWX-Keynote
Auf der Developer Week '24 wird Professor Alexander Pretschner von der TU München eine der Keynotes halten. Er klärt auf, ob Ihr Job in Gefahr ist.
>>
10 Stationen
1.500 Händler bei der AVM-Roadshow
Der Fokus der Solution Tour 2024 von AVM lag auf den Themen Glasfaser, Wi-Fi 7 und Smart Home, und mehr als 1.500 Handelspartner folgten der Einladung des Herstellers an die insgesamt 10 Standorte in Deutschland.
>>
Test-Framework
Testautomatisierung mit C# und Atata
Atata ist ein umfassendes C#-Framework für die Web-Testautomatisierung, das auf Selenium WebDriver basiert. Es verwendet das Fluent Page Object Pattern und verfügt über ein einzigartiges Protokollierungssystem sowie Trigger-Funktionalitäten.
>>