Beiträge

security

Im Sicherheitsplugin von iThemes Security (Better WP Security) gibt es ein Problem mit den Zugriffsrechten, dieses wurde Gestern veröffentlicht.

Dadurch ist es möglich, dass ein Angreifer Zugriff auf die Backups und Logfiles erhält.
Diese Daten werden in einem Verzeichnis abgespeichert, welches für jeden lesbar ist

wp-content/uploads/ithemes-security/backups

hier wird zwar ein .htaccess zum Schutz dieser Daten erstellt – aber nur dann, wenn das Verzeichnis bei der Installation schon besteht, das ist in der Regel nicht der Fall!
Wenn ein Backup erstellt wird, dann generiert die ITSEC_Backup Klasse zwar dieses Verzeichnis, aber erstellt keine .htaccess Datei.

Wenn das Directory Listing im Webserver eingeschaltet ist, kann daher jeder auf diese Dateien zugreifen.

Hinzu kommt, dass sich der Dateiname der Sicherung erraten lässt (VIA)

Dieses Problem ist mit Version 5.3.1 gefixt worden!

Solltet ihr noch eine Version kleiner als die 5.3.1 einsetzen – dann bitte unbedingt updaten, das Plugin bietet bereits Version 5.3.6 :)

security

Soeben erschienen ist Version 4.3.1 (4.2.5, 4.1.8, etc) von WordPress.

Dieser Version schließt eine XSS Lücke beim bearbeiten von Shortcode Tags (CVE-2015-5714), welcher von Shanar Tal und Netanel Rubin von Check Point gemeldet wurde.
Die Beiden haben auch eine weitere Lücke gefunden, hier war es Benutzern möglich, private Einträge zu posten und diese fest zu pinnen(CVE-2015-5715).

Eine weitere Lücke hat das WordPress Security Team selbst gefunden – auch diese XSS Lücke in der Benutzer Tabelle wurde geschlossen.

Zusätzlich werden mit dem Update 26 Fehler behoben – kann man in den Release Notes nachlesen.

Das Update wird derzeit über die Auto Update Funktion ausgerollt, kann aber natürlich auch manuell installiert werden.

Bitte schaut, dass eure Installationen entsprechend aktualisiert werden!

security

Alle WordPress Versionen bis zu 4.2.2 sind von einer Lücke betroffen, welche es Benutzern mit der Mitarbeiter oder Autor Rolle ermöglicht, die Seite zu kompromittieren.

Außerdem wurde auch noch ein Problem behoben durch welches es Benutzern mit einer Benachrichtigen Berechtigung ermöglichte einen Schnellen Entwurf zu erstellen.

Desweiteren gibt es noch 20 Bugfixe gegenüber Version 4.2 – welche genau, steht im Releaselog.

Mit der Heute erschienenen Version 4.2.3 werden diese Lücken geschlossen bzw. Probleme behoben.

Wer sich an den automatischen Updates beteiligt sollte die neue Version bereits erhalten haben – oder in den nächsten Minuten erhalten. Alle anderen sollten schnell ihre Installationen updaten um Datenverluste zu vermeiden.

Hinweis:

Es kann sein, dass ihr beim Einloggen einen Hinweis erhaltet, dass ihr die Datenbank updaten müsst – keine Panik, das ist hängt mit einem der Bugfixe zusammen – einfach ein (oder ggf. sogar mehrere Male) auf den Update Knopf drücken und schon ist die Sache erledigt.

security

Hier eine Warnung für das YARPP Plugin Version 4.2.4 – dieses Plugin kann ohne gültigen Token upgedatet werden.

Diesen Umstand kann ein Angreifer nutzen, um einen Webseiten Administrator zu verleiten über den Aufruf einer bösartigen Seite, die YARPP Optionen zu ändern. Einige der Optionen erlauben HTML, dadurch kann der Angreifern dann bösartigen Javascript einschleusen. Dieser kann dann durch einen WordPress Benutzer mit Administratoren Berechtigung ausgeführt werden und administrative Arbeiten durchführen.

Ein Proof of Concept findet sich in der WPScan Vulnerability Database, hier wurde auch diese Lücke publiziert.

Bisher gibt es noch kein Update – also sehr vorsichtig sein, wenn ihr als WordPress Admin eingeloggt seid und dann einen Link aufruft.

Update:

Laut EVEX sind auch Versionen kleiner 4.2.4 betroffen!

Update 2:

Derzeit ist Yarpp aus dem WordPress Plugin Directory verschwunden!

yarpp

 

Update 3:

Das Update von YARPP auf 4.2.5 ist verfügbar und das Plugin entsprechend auch wieder im Plugin Verzeichnis verfügbar.