Kritische Lücke in Jetpack – Jetzt updaten auf Version 4.0.3

security

Wie im Jetpack Blog zu lesen ist, wurde durch Sucuri eine kritische Lücke in Jetpack ab Version 2.0 gefunden. Die Lücke entsteht beim Verarbeiten von Shortcodes.

Derzeit gibt es keine Hinweise darauf, dass die Lücke ausgenutzt wird. Da der Fehler jetzt aber veröffentlicht wurde, kann das ggf. nicht lange dauern. Aus diesem Grund ist das sofortige Update auf Jetpack 4.0.3 – über das Dashboard oder Download – zu empfehlen.
Das Update wird auch über das Auto Update von WordPress verteilt – und schließt auch eine weitere Exploit Möglichkeit für euer Blog.

Update:

Viele Hintergründe und technische Informationen findet ihr im Sucuri Blog

iThemes Security (Better WP Security) Sicherheitslücke bei den Zugriffsrechten

security

Im Sicherheitsplugin von iThemes Security (Better WP Security) gibt es ein Problem mit den Zugriffsrechten, dieses wurde Gestern veröffentlicht.

Dadurch ist es möglich, dass ein Angreifer Zugriff auf die Backups und Logfiles erhält.
Diese Daten werden in einem Verzeichnis abgespeichert, welches für jeden lesbar ist

wp-content/uploads/ithemes-security/backups

hier wird zwar ein .htaccess zum Schutz dieser Daten erstellt – aber nur dann, wenn das Verzeichnis bei der Installation schon besteht, das ist in der Regel nicht der Fall!
Wenn ein Backup erstellt wird, dann generiert die ITSEC_Backup Klasse zwar dieses Verzeichnis, aber erstellt keine .htaccess Datei.

Wenn das Directory Listing im Webserver eingeschaltet ist, kann daher jeder auf diese Dateien zugreifen.

Hinzu kommt, dass sich der Dateiname der Sicherung erraten lässt (VIA)

Dieses Problem ist mit Version 5.3.1 gefixt worden!

Solltet ihr noch eine Version kleiner als die 5.3.1 einsetzen – dann bitte unbedingt updaten, das Plugin bietet bereits Version 5.3.6 🙂

Elegant Themes Schwachstelle: DIVI und weitere – dringend updaten!

security

Bei Themes von Elegant Themes gibt es eine Schwachstelle durch die es registrierten Benutzern eines Blogs, egal welche Rolle sie haben, möglich ist, ihr Berechtigung zu erhöhen (Divi und Extra Theme). Dadurch können sie dann verschiedene Aktionen im DIVI Builder durchführen, z.B. Posts manipulieren.

Today our divi builder and plugin options frameworks were updated to fix a security vulnerability. The vulnerability affects several of our themes and plugins

In anderen Plugins wurde eine ähnliche Schwachstelle gefunden, die es Usern erlaubt, Plugin Einstellungen zu ändern.

Betroffen sind:

  • Divi
  • Extra
  • Divi 2.3 (legacy) Themes
  • Divi Builder (Plugin)
  • Bloom (Plugin)
  • Monarch (Plugin)

Wenn ihr eines dieser Themes / Plugins nutzt – und User auf dem Blog habt, welchen ihr nicht traut – dann auf jeden Fall schnell updaten!

Elegant Themes stellt Patche auch allen Usern zur Verfügung, deren Account abgelaufen ist!

Updates gibt es über die Webseite oder das elegant updater plugin.