Kritische Sicherheitslücke in WordPress
28. April 2015
Angesichts der potentiellen Auswirkung der Lücke und der hohen Anzahl an installierten
WordPress Content Management Systemen bittet CERT.at um Beachtung der folgenden
Hinweise.
Informationsquelle(n):
Meldung von Klikky Oy (englisch)
http://klikki.fi/adv/wordpress2.html
Meldung bei futurezone.at
http://futurezone.at/digital-life/sicherheitsluecke-macht-wordpress-websites-angreifbar/127.443.749
WordPress 4.2.1 Security Release (englisch)
https://wordpress.org/news/2015/04/wordpress-4-2-1/
Beschreibung
Wie gestern (27. April) bekannt wurde, gibt es eine Sicherheitslücke in WordPress.Am Abend wurde dann auch noch ein Patch für dieses Problem veröffentlicht.
Auswirkungen
Angreifer können JavaScript Code in Kommentaren hinterlegen, der dann unter bestimmten Umständen in weiterer Folge dazu führen kann, dass (durch die Themen/Plugin Funktionen) beliebiger Code auf dem Webserver ausgeführt wird.Da WordPress-Installationen generell ein beliebtes Ziel von Angreifern (Website Defacements, Fake Pharmacy Hacks, Search Engine Ranking etc.) sind, ist davon auszugehen, dass entsprechende Angriffe bereits entwickelt werden, und in naher Zukunft automatisiert durchgeführt werden.
Betroffene Systeme
Alle WordPress-Installationen bis inkl. Version 4.2, wenn die Kommentar-Funktion aktiviert ist.Weitere Details sind in der Meldung von Klikky Oy verfügbar.
Abhilfe
- Upgrade auf die entsprechend angepasste Version 4.2.1, Download zB via WordPress.org oder über die eingebaute Update-Funktionalität ("Dashboard -> Updates").
- Für Situationen, wo ein Upgrade nicht (einfach) möglich ist, ist momentan ein vollständiges Deaktivieren der Kommentar-Funktionen zu empfehlen - ein Umschalten auf "moderierte" Kommentare reicht nicht aus.
Hinweis
Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.Informationsquelle(n):
Meldung von Klikky Oy (englisch)
http://klikki.fi/adv/wordpress2.html
Meldung bei futurezone.at
http://futurezone.at/digital-life/sicherheitsluecke-macht-wordpress-websites-angreifbar/127.443.749
WordPress 4.2.1 Security Release (englisch)
https://wordpress.org/news/2015/04/wordpress-4-2-1/