[Warning] Kritische Sicherheitslücke in WordPress

Alexander Riepl riepl at cert.at
Thu May 7 14:20:14 CEST 2015


07. Mai 2015

   Angesichts der potentiellen Auswirkung der Lücke und der hohen Anzahl
   an installierten WordPress Content Management Systemen bittet CERT.at
   um Beachtung der folgenden Hinweise.

Beschreibung

   Wie gestern (06. Mai) bekannt wurde, gibt es eine Sicherheitslücke im
   "Genericons icon font package" von WordPress, welches in vielen
   populären Themes und Erweiterungen, darunter das Default-Theme von
   Wordpress, eingesetzt wird.

   Am Abend wurde dann auch noch ein Patch für dieses Problem
   veröffentlicht.

Auswirkungen

   Angreifer können durch diese Lücke, indem sie einen Benutzer dazu
   bringen einen speziell präparierten Link zu öffnen, beliebigen Code im
   Kontext des Webbrowsers des Benutzers ausführen. Dies kann unter
   Umständen zur vollständigen Kompromitierung der Wordpress-Instanz
   führen.

   Da laut Sucuri bereits vor Veröffentlichung der Schwachstelle erste
   Angriffsversuche zu sehen waren, ist davon auszugehen, dass die Lücke
   bereits aktiv ausgenutzt wird.

Betroffene Systeme

   Alle WordPress-Installationen bis inkl. Version 4.2.1, wenn eines der
   installierten Themes / Plugins das "Genericons icon font package"
   nutzt. Das betroffene Theme / Plugin muss dazu nicht aktiviert sein,
   das Vorhandensein ist ausreichend.

   Weitere Details sind in der [1]Meldung von Sucuri verfügbar.

Abhilfe

     * Upgrade auf die entsprechend angepasste Version 4.2.2, Download zB
       via [2]WordPress.org oder über die eingebaute Update-Funktionalität
       ("Dashboard -> Updates").
     * Für Situationen, wo ein Upgrade nicht (einfach) möglich ist, ist
       das Löschen der verantwortlichen Datei,
       yourdomain.com/wp-content/themes/twentyfifteen/genericons/example.h
       tml beziehungsweise
       yourdomain.com/wp-content/plugins/jetpack/_inc/genericons/genericon
       s/example.html, ein möglicher Fix

Hinweis

   Generell empfiehlt CERT.at, wo möglich die "automatisches
   Update"-Features von Software zu nutzen, parallel Firewall-Software
   aktiv und den Virenschutz aktuell zu halten.
     __________________________________________________________________

   Informationsquelle(n):
   Blogeintrag von Sucuri (englisch)
   [1]https://blog.sucuri.net/2015/05/jetpack-and-twentyfifteen-vulnerable
   -to-dom-based-xss.html
   WordPress 4.2.2 Security Release (englisch)
   [2]https://wordpress.org/news/2015/05/wordpress-4-2-2/

-- 
// Alexander Riepl <riepl at cert.at> - T: +43 1 5056416 78
// CERT Austria - http://www.cert.at/
// Eine Initiative der nic.at GmbH - http://www.nic.at/
// Firmenbuchnummer 172568b, LG Salzburg

-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 819 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/pipermail/warning/attachments/20150507/293940d4/attachment-0002.sig>


More information about the Warning mailing list