[Warning] Kritische Sicherheitslücke in WordPress
Robert Waldner
waldner at cert.at
Tue Apr 28 10:51:57 CEST 2015
28. April 2015
Angesichts der potentiellen Auswirkung der Lücke und der hohen
Anzahl an installierten WordPress Content Management Systemen bittet
CERT.at um Beachtung der folgenden Hinweise.
Beschreibung
Wie gestern (27. April) bekannt wurde, gibt es eine Sicherheitslücke
in WordPress.
Am Abend wurde dann auch noch ein Patch für dieses Problem
veröffentlicht.
Auswirkungen
Angreifer können JavaScript Code in Kommentaren hinterlegen, der dann
unter bestimmten Umständen in weiterer Folge dazu führen kann, dass
(durch die Themen/Plugin Funktionen) beliebiger Code auf dem
Webserver ausgeführt wird.
Da WordPress-Installationen generell ein beliebtes Ziel von
Angreifern (Website Defacements, Fake Pharmacy Hacks, Search Engine
Ranking etc.) sind, ist davon auszugehen, dass entsprechende
Angriffe bereits entwickelt werden, und in naher Zukunft
automatisiert durchgeführt werden.
Betroffene Systeme
Alle WordPress-Installationen bis inkl. Version 4.2, wenn die
Kommentar-Funktion aktiviert ist.
Weitere Details sind in der Meldung von Klikky Oy verfügbar:
http://klikki.fi/adv/wordpress2.html
Abhilfe
* Upgrade auf die entsprechend angepasste Version 4.2.1, Download
zB via WordPress.org oder über die eingebaute Update-
Funktionalität ("Dashboard -> Updates").
* Für Situationen, wo ein Upgrade nicht (einfach) möglich ist, ist
momentan ein *vollständiges* Deaktivieren der Kommentar-
Funktionen zu empfehlen - ein Umschalten auf "moderierte"
Kommentare reicht nicht aus.
Hinweis
Generell empfiehlt CERT.at, wo möglich die "automatisches
Update"-Features von Software zu nutzen, parallel Firewall-Software
aktiv und den Virenschutz aktuell zu halten.
__________________________________________________________________
Informationsquelle(n):
Meldung von Klikky Oy (englisch)
http://klikki.fi/adv/wordpress2.html
Meldung bei futurezone.at
http://futurezone.at/digital-life/sicherheitsluecke-macht-wordpress-
websites-angreifbar/127.443.749
WordPress 4.2.1 Security Release (englisch)
https://wordpress.org/news/2015/04/wordpress-4-2-1/
--
// CERT Austria - Robert Waldner <waldner at cert.at>
// http://www.cert.at/ - T: +43 1 5056416 78
// Eine Initiative der nic.at GmbH
// http://www.nic.at/ - Firmenbuchnummer 172568b, LG Salzburg
-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 836 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/cgi-bin/mailman/private/warning/attachments/20150428/f8479bde/attachment.sig>
More information about the Warning
mailing list