[Warning] Kritische Sicherheitslücke in WordPress
Alexander Riepl
riepl at cert.at
Thu May 7 14:20:14 CEST 2015
07. Mai 2015
Angesichts der potentiellen Auswirkung der Lücke und der hohen Anzahl
an installierten WordPress Content Management Systemen bittet CERT.at
um Beachtung der folgenden Hinweise.
Beschreibung
Wie gestern (06. Mai) bekannt wurde, gibt es eine Sicherheitslücke im
"Genericons icon font package" von WordPress, welches in vielen
populären Themes und Erweiterungen, darunter das Default-Theme von
Wordpress, eingesetzt wird.
Am Abend wurde dann auch noch ein Patch für dieses Problem
veröffentlicht.
Auswirkungen
Angreifer können durch diese Lücke, indem sie einen Benutzer dazu
bringen einen speziell präparierten Link zu öffnen, beliebigen Code im
Kontext des Webbrowsers des Benutzers ausführen. Dies kann unter
Umständen zur vollständigen Kompromitierung der Wordpress-Instanz
führen.
Da laut Sucuri bereits vor Veröffentlichung der Schwachstelle erste
Angriffsversuche zu sehen waren, ist davon auszugehen, dass die Lücke
bereits aktiv ausgenutzt wird.
Betroffene Systeme
Alle WordPress-Installationen bis inkl. Version 4.2.1, wenn eines der
installierten Themes / Plugins das "Genericons icon font package"
nutzt. Das betroffene Theme / Plugin muss dazu nicht aktiviert sein,
das Vorhandensein ist ausreichend.
Weitere Details sind in der [1]Meldung von Sucuri verfügbar.
Abhilfe
* Upgrade auf die entsprechend angepasste Version 4.2.2, Download zB
via [2]WordPress.org oder über die eingebaute Update-Funktionalität
("Dashboard -> Updates").
* Für Situationen, wo ein Upgrade nicht (einfach) möglich ist, ist
das Löschen der verantwortlichen Datei,
yourdomain.com/wp-content/themes/twentyfifteen/genericons/example.h
tml beziehungsweise
yourdomain.com/wp-content/plugins/jetpack/_inc/genericons/genericon
s/example.html, ein möglicher Fix
Hinweis
Generell empfiehlt CERT.at, wo möglich die "automatisches
Update"-Features von Software zu nutzen, parallel Firewall-Software
aktiv und den Virenschutz aktuell zu halten.
__________________________________________________________________
Informationsquelle(n):
Blogeintrag von Sucuri (englisch)
[1]https://blog.sucuri.net/2015/05/jetpack-and-twentyfifteen-vulnerable
-to-dom-based-xss.html
WordPress 4.2.2 Security Release (englisch)
[2]https://wordpress.org/news/2015/05/wordpress-4-2-2/
--
// Alexander Riepl <riepl at cert.at> - T: +43 1 5056416 78
// CERT Austria - http://www.cert.at/
// Eine Initiative der nic.at GmbH - http://www.nic.at/
// Firmenbuchnummer 172568b, LG Salzburg
-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 819 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/pipermail/warning/attachments/20150507/293940d4/attachment-0002.sig>
More information about the Warning
mailing list