In meinem WordPress bekam ich heute im Backend mal wieder eine Meldung angezeigt, das ein Update zur Verfügung steht, von Version 2.6.2 zu 2.6.3. Aber bitte nicht auf WordPress und deren Entwickler einschlagen. Es geht um einen Bug in “Snoopy” (http://sourceforge.net), eine PHP-Klasse welche in WordPress Verwendung findet.

Den Download-Link zum Update findet man wie üblich im WordPress Deutschland Blog (blog.wordpress-deutschland.org). Das Update besteht nur aus zwei Dateien, die class-snoopy.php und die version.php, die jeweils in das wp-includes-Verzeichnis kopiert werden müssen.

Wenn man die Pflege seiner WP-Blogs richtig organisiert hat, dann ist das Update in wenigen Minuten erledigt, also bitte nicht meckern “Schon wieder ein Bug in WordPress!” sondern, erstmal sich und seine Arbeit effizient organisieren. :O)

Der Bug soll dazu führen das Zugriffe auf den Root-Server möglich sind. Unter welchen Umständen dies möglich wurde kann ich nicht sagen, da ich leider keine Beispiele dazu gefunden habe. Also weiß ich leider auch nicht worauf man in seinen Log-Files achten sollte, um zu prüfen ob jemand diesen Bug schon ausgenutzt hat. Ich behaupte jetzt mal, so aus dem Bauch, das ein Angriff nur möglich war, sofern auch der Server (bzw. der Hoster) etwas Mithilfe geleistet hat, in Form von unsicherer Server-Konfiguration.

Hier http://www.m-software.de/snoopy.php wird erklärt was Snoopy ist und wofür es gemacht wurde.