Die Krux mit dem Zufall

WordPress hatte gerade erst eine neue Version herausgebracht, die eine neue Sicherheitslücke fixen sollte. Über diese Lücke war es möglich gewesen die Passwörter von Usern zurückzusetzen und ein Zufallspasswort verschicken zu lassen. Das an sich wäre zwar ärgerlich aber wenig problematisch, wenn das Zufallspasswort wirklich so zufällig wäre wie es sein sollte.

Allerdings lieferte die zuständige Funktion mt_rand() wohl eben keine zufälligen Passwörter sondern arbeitet unter anderem mit auch eventuellen Angreifern bekannten Parametern und so ist es möglich die Zufallspasswörter zu knacken.

Das Problem bezieht sich dabei nicht nur auf WordPress (ist in der neusten Version 2.6.2 behoben) sondern auch auf andere Systeme, die mit der mt_rand() Funktion arbeiten.

So wurde gestern erst einen ebenfalls neue Version von vbulletin vorgestellt dies sich mit genau dieser Problematik befasst und diesen Bug fixen soll. Darüber hinaus bleibt zu erwarten, dass auch noch einige andere System Sicherheitsupdates bringen um dieses Problem zu beheben.

Links:

1 Trackbacks & Pingbacks

  1. Joomla mit Security Release

Hinterlasse einen Kommentar

E-Mail Adresse wird nicht veröffentlicht.


*