[Warning] Sicherheitslücken in WordPress (Updates verfügbar)
Robert Waldner
waldner at cert.at
Fri Nov 21 09:14:09 CET 2014
21. November 2014
Beschreibung
Das WordPress-Projekt hat eine Reihe von Updates herausgegeben, die
teilweise kritische Sicherheitslücken schliessen.
Es ist momentan nicht bekannt, ob diese Schwachstellen schon aktiv
ausgenützt werden, ausgehend von der Verbreitung von WordPress und da
jetzt Details bekannt sind, ist aber davon auszugehen, dass dies bald
massenhaft versucht werden wird.
Weitere Informationen
WordPress 3.9.2 und frühere Versionen sind für eine
Cross-Site-Scripting (XSS) Attacke anfällig, die es anonymen
Benutzern ermöglicht, eine WordPress-Site zu kompromittieren.
Für WordPress 4.0 werden mit dem Udpate auf 4.0.1 folgende Probleme
behoben:
* 3 Cross-Site-Scripting Lücken, die es bestimmten authentisierten
Benutzern (Authors, Contributors) ermöglicht, eine Seite zu
kompromittieren
* eine Cross-Site-Request-Forgery (XSRF) Lücke, die dazu benutzt
werden kann, einen User zur Änderung seines Passworts zu bringen
* ein Denial-of-Service Problem
* zusätzliche Schutzmechanismen bezüglich
Server-Side-Request-Forgery, wenn WordPress HTTP-Requests macht
* eine potentielle Hash-Collision, die zur Kompromittierung von
Usern führen kann, die sich seit 2008 nicht mehr eingeloggt haben
* bessere Behandlung von Links in Bezug zu Passwort-Reset Mails
Laut http://klikki.fi/adv/wordpress.html wird mit 4.0.1 auch ein
Problem mit JavaScript-Injection in den 3.x Versionen behoben - es
ist momentan nicht klar, ob dieser Fix auch in den neuen 3.x Paketen
(3.9.3, 3.8.5, 3.7.5) enthalten ist.
Auswirkungen
Der Angreifer kann nach erfolgtem Ausnutzen mancher dieser Lücken
potentiell beliebigen Code auf dem Webserver, auf dem WordPress
installiert ist, ausführen, sowie natürlich nach Belieben den Inhalt
der Seite verändern (Defacements, Phishing, Malware-Verteilung).
Dadurch sind alle Daten auf diesen Systemen, sowie potenziell alle
durch diese erreichbaren (etwa durch ausspionierte Zugangsdaten, VPN,
Fileshares, Datenbank etc.) Daten und anderen Systeme gefährdet.
Betroffene Systeme
Betroffen sind alle unterstützten Versionen von WordPress:
* WordPress 4.0
* WordPress 3.9.2
* WordPress 3.8.4
* WordPress 3.7.4
Zu noch älteren Versionen sind keine Informationen verfügbar, es ist
aber davon auszugehen, dass diese auch anfällig sind.
Abhilfe
Seiten, die WordPress im "automatische Updates"-Modus betreiben,
sollten die neuen Versionen bereits automatisch bekommen haben - dies
sollte sicherheitshalber aber kontrolliert werden.
Für Setups ohne automatische Updates Installation der entsprechend
gefixten Versionen (4.0.1, 3.9.3, 3.8.5, 3.7.5).
WordPress empfiehlt auch für Setups, die noch mit Version 3.x
betrieben werden dringend ein Upgrade auf 4.0.1.
Hinweis
Generell empfiehlt CERT.at, wo möglich die "automatisches
Update"-Features von Software zu nutzen, parallel Firewall-Software
aktiv und den Virenschutz aktuell zu halten.
__________________________________________________________________
Informationsquelle(n):
WordPress Blog Post (englisch)
https://wordpress.org/news/2014/11/wordpress-4-0-1/
Advisory bei klikki.fi (englisch)
http://klikki.fi/adv/wordpress.html
--
// CERT Austria - Robert Waldner <waldner at cert.at>
// http://www.cert.at/ - T: +43 1 5056416 78
// Eine Initiative der nic.at GmbH
// http://www.nic.at/ - Firmenbuchnummer 172568b, LG Salzburg
-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 819 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/cgi-bin/mailman/private/warning/attachments/20141121/6f15971a/attachment.sig>
More information about the Warning
mailing list