Beiträge

Kritische Lücke in Jetpack – Jetzt updaten auf Version 4.0.3

security

Wie im Jetpack Blog zu lesen ist, wurde durch Sucuri eine kritische Lücke in Jetpack ab Version 2.0 gefunden. Die Lücke entsteht beim Verarbeiten von Shortcodes.

Derzeit gibt es keine Hinweise darauf, dass die Lücke ausgenutzt wird. Da der Fehler jetzt aber veröffentlicht wurde, kann das ggf. nicht lange dauern. Aus diesem Grund ist das sofortige Update auf Jetpack 4.0.3 – über das Dashboard oder Download – zu empfehlen.
Das Update wird auch über das Auto Update von WordPress verteilt – und schließt auch eine weitere Exploit Möglichkeit für euer Blog.

Update:

Viele Hintergründe und technische Informationen findet ihr im Sucuri Blog

Security: JetPack Plugin und TwentyFifteen Theme mit Sicherheitslücke

security

Es tut sich eine neue Lücke auf – dieses mal sind das TwentyFifteen Theme, standardmäßig in WordPress Installationen enthalten, sowie das Jetpack Plugin betroffen.
Genauer gesagt geht es um das hier enthaltene genericons Paket, welches laut Sucuri anfällig für einen DOM-basierten XSS Angriff ist. Schuld hieran ist die Datei example.html, welche hier enthalten ist.

Das Problem bei DOM-basierten Angriffen ist, dass es sich um einen lokal am Client ausgeführten Angriff handelt. Dieser lässt sich daher auch nicht Server seitig blockieren oder verhindern, etwa durch Webseiten Firewalls.
Allerdings muss die kompromitierte URL gezielt aufgerufen werden, was aber unbedarften Anwendern vermutlich nicht auffällt.

Das Problem lässt sich leicht lösen, indem man die example.html Datei aus dem genericons Verzeichnis löscht.
Soeben sind auch Updates für Jetpack sowie TwentyFifteen erschienen.

Da das genericons Paket allerdings auch in anderen Themes verwendet wurde – solltet ihr eure Installation auf das Vorhandensein dieser Datei überprüfen.

Wie immer kann ich nur raten regelmäßig seine Installation auf vorhandene Updates zu überprüfen und diese dann auch ein zu spielen.

Bitte beachtet, dass die Lücke auch dann besteht, wenn das Theme gar nicht aktiviert ist – es reicht, dass die Dateien in eurer Installation vorhanden sind!

Update:

Es stehen Updates bereit, siehe auch WordPress 4.1.5 und 4.2.2 sind erschienen

Sicherheit: Kritische Lücke in Jetpack

Wordpress Security

Im WordPress Plugin ‚Jetpack‘ von Automattic gibt es ein kritisches Sicherheitsproblem – darüber informiert ein Newsletter von Jetpack.

Jetpack

Laut Sucuri gibt es ein Problem mit ‚improperly escaped URLs‘.
Leider sind weder der verlinkte Sucuri Blog Eintrag, noch der verlinkte Jetpack Eintrag derzeit zu erreichen.

Ihr solltet aber alle dringend überprüfen, welche Version von Jetpack ihr einsetzt und entsprechend zügig updaten!

Update:

Die Version 3.4.3 ist im Plugin Directory verfügbar, im automatischen Download wird sie (mir) noch nicht angeboten.
Im Changelog steht nur relativ lapidar:

3.4.3

  • Security hardening.

Update 2:

Da geht noch mehr – bitte den Folgebeitrag beachten!