Kritische Sicherheitslücke in WordPress (Updates verfügbar)

07. Mai 2015

Angesichts der potentiellen Auswirkung der Lücke und der hohen Anzahl an installierten WordPress Content Management Systemen bittet CERT.at um Beachtung der folgenden Hinweise.

Beschreibung

Wie gestern (06. Mai) bekannt wurde, gibt es eine Sicherheitslücke im "Genericons icon font package" von WordPress, welches in vielen populären Themes und Erweiterungen, darunter das Default-Theme von Wordpress, eingesetzt wird.

Am Abend wurde dann auch noch ein Patch für dieses Problem veröffentlicht.

Auswirkungen

Angreifer können durch diese Lücke, indem sie einen Benutzer dazu bringen einen speziell präparierten Link zu öffnen, beliebigen Code im Kontext des Webbrowsers des Benutzers ausführen. Dies kann unter Umständen zur vollständigen Kompromitierung der Wordpress-Instanz führen.

Da laut Sucuri bereits vor Veröffentlichung der Schwachstelle erste Angriffsversuche zu sehen waren, ist davon auszugehen, dass die Lücke bereits aktiv ausgenutzt wird.

Betroffene Systeme

Alle WordPress-Installationen bis inkl. Version 4.2.1, wenn eines der installierten Themes / Plugins das "Genericons icon font package" nutzt. Das betroffene Theme / Plugin muss dazu nicht aktiviert sein, das Vorhandensein ist ausreichend.

Weitere Details sind in der Meldung von Sucuri verfügbar.

Abhilfe

  • Upgrade auf die entsprechend angepasste Version 4.2.2, Download zB via WordPress.org oder über die eingebaute Update-Funktionalität ("Dashboard -> Updates").
  • Für Situationen, wo ein Upgrade nicht (einfach) möglich ist, ist das Löschen der verantwortlichen Datei, yourdomain.com/wp-content/themes/twentyfifteen/genericons/example.html beziehungsweise yourdomain.com/wp-content/plugins/jetpack/_inc/genericons/genericons/example.html, ein möglicher Fix

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.
Informationsquelle(n):

Blogeintrag von Sucuri (englisch)
https://blog.sucuri.net/2015/05/jetpack-and-twentyfifteen-vulnerable-to-dom-based-xss.html
WordPress 4.2.2 Security Release (englisch)
https://wordpress.org/news/2015/05/wordpress-4-2-2/