Beiträge

iThemes Security (Better WP Security) Sicherheitslücke bei den Zugriffsrechten

security

Im Sicherheitsplugin von iThemes Security (Better WP Security) gibt es ein Problem mit den Zugriffsrechten, dieses wurde Gestern veröffentlicht.

Dadurch ist es möglich, dass ein Angreifer Zugriff auf die Backups und Logfiles erhält.
Diese Daten werden in einem Verzeichnis abgespeichert, welches für jeden lesbar ist

wp-content/uploads/ithemes-security/backups

hier wird zwar ein .htaccess zum Schutz dieser Daten erstellt – aber nur dann, wenn das Verzeichnis bei der Installation schon besteht, das ist in der Regel nicht der Fall!
Wenn ein Backup erstellt wird, dann generiert die ITSEC_Backup Klasse zwar dieses Verzeichnis, aber erstellt keine .htaccess Datei.

Wenn das Directory Listing im Webserver eingeschaltet ist, kann daher jeder auf diese Dateien zugreifen.

Hinzu kommt, dass sich der Dateiname der Sicherung erraten lässt (VIA)

Dieses Problem ist mit Version 5.3.1 gefixt worden!

Solltet ihr noch eine Version kleiner als die 5.3.1 einsetzen – dann bitte unbedingt updaten, das Plugin bietet bereits Version 5.3.6 🙂

WordPress Security Update auf Version 4.3.1 und 4.2.5 erschienen

security

Soeben erschienen ist Version 4.3.1 (4.2.5, 4.1.8, etc) von WordPress.

Dieser Version schließt eine XSS Lücke beim bearbeiten von Shortcode Tags (CVE-2015-5714), welcher von Shanar Tal und Netanel Rubin von Check Point gemeldet wurde.
Die Beiden haben auch eine weitere Lücke gefunden, hier war es Benutzern möglich, private Einträge zu posten und diese fest zu pinnen(CVE-2015-5715).

Eine weitere Lücke hat das WordPress Security Team selbst gefunden – auch diese XSS Lücke in der Benutzer Tabelle wurde geschlossen.

Zusätzlich werden mit dem Update 26 Fehler behoben – kann man in den Release Notes nachlesen.

Das Update wird derzeit über die Auto Update Funktion ausgerollt, kann aber natürlich auch manuell installiert werden.

Bitte schaut, dass eure Installationen entsprechend aktualisiert werden!

WordPress Sicherheitsupdate auf Version 4.2.3

security

Alle WordPress Versionen bis zu 4.2.2 sind von einer Lücke betroffen, welche es Benutzern mit der Mitarbeiter oder Autor Rolle ermöglicht, die Seite zu kompromittieren.

Außerdem wurde auch noch ein Problem behoben durch welches es Benutzern mit einer Benachrichtigen Berechtigung ermöglichte einen Schnellen Entwurf zu erstellen.

Desweiteren gibt es noch 20 Bugfixe gegenüber Version 4.2 – welche genau, steht im Releaselog.

Mit der Heute erschienenen Version 4.2.3 werden diese Lücken geschlossen bzw. Probleme behoben.

Wer sich an den automatischen Updates beteiligt sollte die neue Version bereits erhalten haben – oder in den nächsten Minuten erhalten. Alle anderen sollten schnell ihre Installationen updaten um Datenverluste zu vermeiden.

Hinweis:

Es kann sein, dass ihr beim Einloggen einen Hinweis erhaltet, dass ihr die Datenbank updaten müsst – keine Panik, das ist hängt mit einem der Bugfixe zusammen – einfach ein (oder ggf. sogar mehrere Male) auf den Update Knopf drücken und schon ist die Sache erledigt.