[Warning] Kritische Sicherheitslücke in WordPress

Robert Waldner waldner at cert.at
Tue Apr 28 10:51:57 CEST 2015 

28. April 2015

   Angesichts der potentiellen Auswirkung der Lücke und der hohen
   Anzahl an installierten WordPress Content Management Systemen bittet
   CERT.at um Beachtung der folgenden Hinweise.

Beschreibung

   Wie gestern (27. April) bekannt wurde, gibt es eine Sicherheitslücke
   in WordPress.

   Am Abend wurde dann auch noch ein Patch für dieses Problem
   veröffentlicht.

Auswirkungen

   Angreifer können JavaScript Code in Kommentaren hinterlegen, der dann
   unter bestimmten Umständen in weiterer Folge dazu führen kann, dass
   (durch die Themen/Plugin Funktionen) beliebiger Code auf dem
   Webserver ausgeführt wird.

   Da WordPress-Installationen generell ein beliebtes Ziel von
   Angreifern (Website Defacements, Fake Pharmacy Hacks, Search Engine
   Ranking etc.) sind, ist davon auszugehen, dass entsprechende
   Angriffe bereits entwickelt werden, und in naher Zukunft
   automatisiert durchgeführt werden.

Betroffene Systeme

   Alle WordPress-Installationen bis inkl. Version 4.2, wenn die
   Kommentar-Funktion aktiviert ist.

   Weitere Details sind in der Meldung von Klikky Oy verfügbar:
   http://klikki.fi/adv/wordpress2.html

Abhilfe

     * Upgrade auf die entsprechend angepasste Version 4.2.1, Download
       zB via WordPress.org oder über die eingebaute Update-
       Funktionalität ("Dashboard -> Updates").
     * Für Situationen, wo ein Upgrade nicht (einfach) möglich ist, ist
       momentan ein *vollständiges* Deaktivieren der Kommentar-
       Funktionen zu empfehlen - ein Umschalten auf "moderierte"
       Kommentare reicht  nicht aus.

Hinweis

   Generell empfiehlt CERT.at, wo möglich die "automatisches
   Update"-Features von Software zu nutzen, parallel Firewall-Software
   aktiv und den Virenschutz aktuell zu halten.
     __________________________________________________________________

   Informationsquelle(n):
   Meldung von Klikky Oy (englisch)
   http://klikki.fi/adv/wordpress2.html
   Meldung bei futurezone.at
   http://futurezone.at/digital-life/sicherheitsluecke-macht-wordpress-
   websites-angreifbar/127.443.749
   WordPress 4.2.1 Security Release (englisch)
   https://wordpress.org/news/2015/04/wordpress-4-2-1/


-- 
// CERT Austria - Robert Waldner <waldner at cert.at>
// http://www.cert.at/ - T: +43 1 5056416 78
// Eine Initiative der nic.at GmbH
// http://www.nic.at/ - Firmenbuchnummer 172568b, LG Salzburg

-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 836 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/cgi-bin/mailman/private/warning/attachments/20150428/f8479bde/attachment.sig>

More information about the Warning mailing list