iThemes Security (Better WP Security) Sicherheitslücke bei den Zugriffsrechten

security

Im Sicherheitsplugin von iThemes Security (Better WP Security) gibt es ein Problem mit den Zugriffsrechten, dieses wurde Gestern veröffentlicht.

Dadurch ist es möglich, dass ein Angreifer Zugriff auf die Backups und Logfiles erhält.
Diese Daten werden in einem Verzeichnis abgespeichert, welches für jeden lesbar ist

wp-content/uploads/ithemes-security/backups

hier wird zwar ein .htaccess zum Schutz dieser Daten erstellt – aber nur dann, wenn das Verzeichnis bei der Installation schon besteht, das ist in der Regel nicht der Fall!
Wenn ein Backup erstellt wird, dann generiert die ITSEC_Backup Klasse zwar dieses Verzeichnis, aber erstellt keine .htaccess Datei.

Wenn das Directory Listing im Webserver eingeschaltet ist, kann daher jeder auf diese Dateien zugreifen.

Hinzu kommt, dass sich der Dateiname der Sicherung erraten lässt (VIA)

Dieses Problem ist mit Version 5.3.1 gefixt worden!

Solltet ihr noch eine Version kleiner als die 5.3.1 einsetzen – dann bitte unbedingt updaten, das Plugin bietet bereits Version 5.3.6 🙂

0 Antworten

Hinterlassen Sie einen Kommentar

Wollen Sie an der Diskussion teilnehmen?
Feel free to contribute!

Kommentar verfassen