[Warning] Sicherheitslücken in WordPress (Updates verfügbar)

Robert Waldner waldner at cert.at
Fri Nov 21 09:14:09 CET 2014 

21. November 2014

Beschreibung

   Das WordPress-Projekt hat eine Reihe von Updates herausgegeben, die
   teilweise kritische Sicherheitslücken schliessen.

   Es ist momentan nicht bekannt, ob diese Schwachstellen schon aktiv
   ausgenützt werden, ausgehend von der Verbreitung von WordPress und da
   jetzt Details bekannt sind, ist aber davon auszugehen, dass dies bald
   massenhaft versucht werden wird.

Weitere Informationen

   WordPress 3.9.2 und frühere Versionen sind für eine
   Cross-Site-Scripting (XSS) Attacke anfällig, die es anonymen
   Benutzern ermöglicht, eine WordPress-Site zu kompromittieren.

   Für WordPress 4.0 werden mit dem Udpate auf 4.0.1 folgende Probleme
   behoben:
     * 3 Cross-Site-Scripting Lücken, die es bestimmten authentisierten
       Benutzern (Authors, Contributors) ermöglicht, eine Seite zu
       kompromittieren
     * eine Cross-Site-Request-Forgery (XSRF) Lücke, die dazu benutzt
       werden kann, einen User zur Änderung seines Passworts zu bringen
     * ein Denial-of-Service Problem
     * zusätzliche Schutzmechanismen bezüglich
       Server-Side-Request-Forgery, wenn WordPress HTTP-Requests macht
     * eine potentielle Hash-Collision, die zur Kompromittierung von
       Usern führen kann, die sich seit 2008 nicht mehr eingeloggt haben
     * bessere Behandlung von Links in Bezug zu Passwort-Reset Mails

   Laut http://klikki.fi/adv/wordpress.html wird mit 4.0.1 auch ein
   Problem mit JavaScript-Injection in den 3.x Versionen behoben - es
   ist momentan nicht klar, ob dieser Fix auch in den neuen 3.x Paketen
   (3.9.3, 3.8.5, 3.7.5) enthalten ist.

Auswirkungen

   Der Angreifer kann nach erfolgtem Ausnutzen mancher dieser Lücken
   potentiell beliebigen Code auf dem Webserver, auf dem WordPress
   installiert ist, ausführen, sowie natürlich nach Belieben den Inhalt
   der Seite verändern (Defacements, Phishing, Malware-Verteilung).

   Dadurch sind alle Daten auf diesen Systemen, sowie potenziell alle
   durch diese erreichbaren (etwa durch ausspionierte Zugangsdaten, VPN,
   Fileshares, Datenbank etc.) Daten und anderen Systeme gefährdet.

Betroffene Systeme

   Betroffen sind alle unterstützten Versionen von WordPress:
     * WordPress 4.0
     * WordPress 3.9.2
     * WordPress 3.8.4
     * WordPress 3.7.4

   Zu noch älteren Versionen sind keine Informationen verfügbar, es ist
   aber davon auszugehen, dass diese auch anfällig sind.

Abhilfe

   Seiten, die WordPress im "automatische Updates"-Modus betreiben,
   sollten die neuen Versionen bereits automatisch bekommen haben - dies
   sollte sicherheitshalber aber kontrolliert werden.

   Für Setups ohne automatische Updates Installation der entsprechend
   gefixten Versionen (4.0.1, 3.9.3, 3.8.5, 3.7.5).

   WordPress empfiehlt auch für Setups, die noch mit Version 3.x
   betrieben werden dringend ein Upgrade auf 4.0.1.

Hinweis

   Generell empfiehlt CERT.at, wo möglich die "automatisches
   Update"-Features von Software zu nutzen, parallel Firewall-Software
   aktiv und den Virenschutz aktuell zu halten.
     __________________________________________________________________

   Informationsquelle(n):
   WordPress Blog Post (englisch)
     https://wordpress.org/news/2014/11/wordpress-4-0-1/
   Advisory bei klikki.fi (englisch)
     http://klikki.fi/adv/wordpress.html

-- 
// CERT Austria - Robert Waldner <waldner at cert.at>
// http://www.cert.at/ - T: +43 1 5056416 78
// Eine Initiative der nic.at GmbH
// http://www.nic.at/ - Firmenbuchnummer 172568b, LG Salzburg

-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 819 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/cgi-bin/mailman/private/warning/attachments/20141121/6f15971a/attachment.sig>

More information about the Warning mailing list