security

Wie im Jetpack Blog zu lesen ist, wurde durch Sucuri eine kritische Lücke in Jetpack ab Version 2.0 gefunden. Die Lücke entsteht beim Verarbeiten von Shortcodes.

Derzeit gibt es keine Hinweise darauf, dass die Lücke ausgenutzt wird. Da der Fehler jetzt aber veröffentlicht wurde, kann das ggf. nicht lange dauern. Aus diesem Grund ist das sofortige Update auf Jetpack 4.0.3 – über das Dashboard oder Download – zu empfehlen.
Das Update wird auch über das Auto Update von WordPress verteilt – und schließt auch eine weitere Exploit Möglichkeit für euer Blog.

Update:

Viele Hintergründe und technische Informationen findet ihr im Sucuri Blog

security

Im Sicherheitsplugin von iThemes Security (Better WP Security) gibt es ein Problem mit den Zugriffsrechten, dieses wurde Gestern veröffentlicht.

Dadurch ist es möglich, dass ein Angreifer Zugriff auf die Backups und Logfiles erhält.
Diese Daten werden in einem Verzeichnis abgespeichert, welches für jeden lesbar ist

wp-content/uploads/ithemes-security/backups

hier wird zwar ein .htaccess zum Schutz dieser Daten erstellt – aber nur dann, wenn das Verzeichnis bei der Installation schon besteht, das ist in der Regel nicht der Fall!
Wenn ein Backup erstellt wird, dann generiert die ITSEC_Backup Klasse zwar dieses Verzeichnis, aber erstellt keine .htaccess Datei.

Wenn das Directory Listing im Webserver eingeschaltet ist, kann daher jeder auf diese Dateien zugreifen.

Hinzu kommt, dass sich der Dateiname der Sicherung erraten lässt (VIA)

Dieses Problem ist mit Version 5.3.1 gefixt worden!

Solltet ihr noch eine Version kleiner als die 5.3.1 einsetzen – dann bitte unbedingt updaten, das Plugin bietet bereits Version 5.3.6 :)

security

Bei Themes von Elegant Themes gibt es eine Schwachstelle durch die es registrierten Benutzern eines Blogs, egal welche Rolle sie haben, möglich ist, ihr Berechtigung zu erhöhen (Divi und Extra Theme). Dadurch können sie dann verschiedene Aktionen im DIVI Builder durchführen, z.B. Posts manipulieren.

Today our divi builder and plugin options frameworks were updated to fix a security vulnerability. The vulnerability affects several of our themes and plugins

In anderen Plugins wurde eine ähnliche Schwachstelle gefunden, die es Usern erlaubt, Plugin Einstellungen zu ändern.

Betroffen sind:

  • Divi
  • Extra
  • Divi 2.3 (legacy) Themes
  • Divi Builder (Plugin)
  • Bloom (Plugin)
  • Monarch (Plugin)

Wenn ihr eines dieser Themes / Plugins nutzt – und User auf dem Blog habt, welchen ihr nicht traut – dann auf jeden Fall schnell updaten!

Elegant Themes stellt Patche auch allen Usern zur Verfügung, deren Account abgelaufen ist!

Updates gibt es über die Webseite oder das elegant updater plugin.

 

security

Soeben erschienen ist Version 4.4.1 von WordPress * – mit diesem Release wird eine Sicherheitslücke geschlossen, die es einem Angreifer ermöglicht per cross-site scripting die Seite zu kompromitieren.

Wordpress 4.4.1

Die Release Notes  listen 52 behobene Fehler auf, unter anderem wurden auch die Emojis auf den neuesten Stand gebracht (so wirst du sie wieder los :) ) und Probleme in Hinblick auf alte Versionen von OpenSSL und Plugins behoben.

Bitte aktualisiert eure Installation im Backend, die Auto Updates werden derzeit ausgerollt.

*betroffen sind auch ältere Versionen von WordPress, auch hier stehen Updates zur Verfügung!

security

Soeben erschienen ist Version 4.3.1 (4.2.5, 4.1.8, etc) von WordPress.

Dieser Version schließt eine XSS Lücke beim bearbeiten von Shortcode Tags (CVE-2015-5714), welcher von Shanar Tal und Netanel Rubin von Check Point gemeldet wurde.
Die Beiden haben auch eine weitere Lücke gefunden, hier war es Benutzern möglich, private Einträge zu posten und diese fest zu pinnen(CVE-2015-5715).

Eine weitere Lücke hat das WordPress Security Team selbst gefunden – auch diese XSS Lücke in der Benutzer Tabelle wurde geschlossen.

Zusätzlich werden mit dem Update 26 Fehler behoben – kann man in den Release Notes nachlesen.

Das Update wird derzeit über die Auto Update Funktion ausgerollt, kann aber natürlich auch manuell installiert werden.

Bitte schaut, dass eure Installationen entsprechend aktualisiert werden!