Sicherheitslücken in WordPress (Updates verfügbar)

21. November 2014

Beschreibung

Das WordPress-Projekt hat eine Reihe von Updates herausgegeben, die teilweise kritische Sicherheitslücken schliessen.

Es ist momentan nicht bekannt, ob diese Schwachstellen schon aktiv ausgenützt werden, ausgehend von der Verbreitung von WordPress und da jetzt Details bekannt sind, ist aber davon auszugehen, dass dies bald massenhaft versucht werden wird.

Weitere Informationen

WordPress 3.9.2 und frühere Versionen sind für eine Cross-Site-Scripting (XSS) Attacke anfällig, die es anonymen Benutzern ermöglicht, eine WordPress-Site zu kompromittieren.

Für WordPress 4.0 werden mit dem Udpate auf 4.0.1 folgende Probleme behoben:

  • 3 Cross-Site-Scripting Lücken, die es bestimmten authentisierten Benutzern (Authors, Contributors) ermöglichen, eine Seite zu kompromittieren
  • eine Cross-Site-Request-Forgery (XSRF) Lücke, die dazu benutzt werden kann, einen User zur Änderung seines Passworts zu bringen
  • ein Denial-of-Service Problem
  • zusätzliche Schutzmechanismen bezüglich Server-Side-Request-Forgery, wenn WordPress HTTP-Requests macht
  • eine potentielle Hash-Collision, die zur Kompromittierung von Usern führen kann, die sich seit 2008 nicht mehr eingeloggt haben
  • bessere Behandlung von Links in Bezug zu Passwort-Reset Mails
Laut http://klikki.fi/adv/wordpress.html wird mit 4.0.1 auch ein Problem mit JavaScript-Injection in den 3.x Versionen behoben - es ist momentan nicht klar, ob dieser Fix auch in den neuen 3.x Paketen (3.9.3, 3.8.5, 3.7.5) enthalten ist.

Auswirkungen

Der Angreifer kann nach erfolgtem Ausnutzen mancher dieser Lücken potentiell beliebigen Code auf dem Webserver, auf dem WordPress installiert ist, ausführen, sowie natürlich nach Belieben den Inhalt der Seite verändern (Defacements, Phishing, Malware-Verteilung).

Dadurch sind alle Daten auf diesen Systemen, sowie potenziell alle durch diese erreichbaren (etwa durch ausspionierte Zugangsdaten, VPN, Fileshares, Datenbank etc.) Daten und anderen Systeme gefährdet.

Betroffene Systeme

Betroffen sind alle unterstützten Versionen von WordPress:
  • WordPress 4.0
  • WordPress 3.9.2
  • WordPress 3.8.4
  • WordPress 3.7.4

Zu noch älteren Versionen sind keine Informationen verfügbar, es ist aber davon auszugehen, dass diese auch anfällig sind.

Abhilfe

Seiten, die WordPress im "automatische Updates"-Modus betreiben, sollten die neuen Versionen bereits automatisch bekommen haben - dies sollte sicherheitshalber aber kontrolliert werden.

Für Setups ohne automatische Updates Installation der entsprechend gefixten Versionen (4.0.1, 3.9.3, 3.8.5, 3.7.5).

WordPress empfiehlt auch für Setups, die noch mit Version 3.x betrieben werden dringend ein Upgrade auf 4.0.1.

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.
Informationsquelle(n):

WordPress Blog Post (englisch)
https://wordpress.org/news/2014/11/wordpress-4-0-1/
Advisory bei klikki.fi (englisch)
http://klikki.fi/adv/wordpress.html