Beiträge

security

Wie im Jetpack Blog zu lesen ist, wurde durch Sucuri eine kritische Lücke in Jetpack ab Version 2.0 gefunden. Die Lücke entsteht beim Verarbeiten von Shortcodes.

Derzeit gibt es keine Hinweise darauf, dass die Lücke ausgenutzt wird. Da der Fehler jetzt aber veröffentlicht wurde, kann das ggf. nicht lange dauern. Aus diesem Grund ist das sofortige Update auf Jetpack 4.0.3 – über das Dashboard oder Download – zu empfehlen.
Das Update wird auch über das Auto Update von WordPress verteilt – und schließt auch eine weitere Exploit Möglichkeit für euer Blog.

Update:

Viele Hintergründe und technische Informationen findet ihr im Sucuri Blog

security

Es tut sich eine neue Lücke auf – dieses mal sind das TwentyFifteen Theme, standardmäßig in WordPress Installationen enthalten, sowie das Jetpack Plugin betroffen.
Genauer gesagt geht es um das hier enthaltene genericons Paket, welches laut Sucuri anfällig für einen DOM-basierten XSS Angriff ist. Schuld hieran ist die Datei example.html, welche hier enthalten ist.

Das Problem bei DOM-basierten Angriffen ist, dass es sich um einen lokal am Client ausgeführten Angriff handelt. Dieser lässt sich daher auch nicht Server seitig blockieren oder verhindern, etwa durch Webseiten Firewalls.
Allerdings muss die kompromitierte URL gezielt aufgerufen werden, was aber unbedarften Anwendern vermutlich nicht auffällt.

Das Problem lässt sich leicht lösen, indem man die example.html Datei aus dem genericons Verzeichnis löscht.
Soeben sind auch Updates für Jetpack sowie TwentyFifteen erschienen.

Da das genericons Paket allerdings auch in anderen Themes verwendet wurde – solltet ihr eure Installation auf das Vorhandensein dieser Datei überprüfen.

Wie immer kann ich nur raten regelmäßig seine Installation auf vorhandene Updates zu überprüfen und diese dann auch ein zu spielen.

Bitte beachtet, dass die Lücke auch dann besteht, wenn das Theme gar nicht aktiviert ist – es reicht, dass die Dateien in eurer Installation vorhanden sind!

Update:

Es stehen Updates bereit, siehe auch WordPress 4.1.5 und 4.2.2 sind erschienen

security

Zuerst die Yoast Lücke – dann folgte Jetpack..

Nun sieht es so aus, dass diese Plugins verwundbar sind, weil sie die Funktionen add_query_arg() und remove_query_arg() fehlerhaft nutzen. Diese Funktionen sind bei Entwicklern von WordPress sehr beliebt.

Offensichtlich ist es so, dass der WordPress Codex diese Funktionen nicht klar beschreibt und daher viele Entwickler diese auch falsch einsetzen. Konkret werden User Eingaben nicht automatisch geschützt. Dadurch werden die Plugins dann für XSS Angriffe nutzbar.

Die Liste der  300-400 meist genutzten Plugins wurde von Sucuri überprüft, dabei wurden etliche entdeckt, welche angreifbar sind:

(Quelle: Sucuri)

Man sollte jetzt dringend sein Dashboard aufrufen und verfügbare Updates für verwendete Plugins einspielen, denn diese Liste wird sicherlich noch länger werden!

Man kann es nicht oft genug erwähnen – Updates sind wichtig – Backups sind wichtig!

Happy patching!

Update 21.04.15:

Hier sind die Links zu den einzelnen betroffenen Plugins aus der WPScan Vulnerability Database

Ich vermute mal, dass diese Liste noch länger wird!

Wordpress Security

Im WordPress Plugin ‚Jetpack‘ von Automattic gibt es ein kritisches Sicherheitsproblem – darüber informiert ein Newsletter von Jetpack.

Jetpack

Laut Sucuri gibt es ein Problem mit ‚improperly escaped URLs‘.
Leider sind weder der verlinkte Sucuri Blog Eintrag, noch der verlinkte Jetpack Eintrag derzeit zu erreichen.

Ihr solltet aber alle dringend überprüfen, welche Version von Jetpack ihr einsetzt und entsprechend zügig updaten!

Update:

Die Version 3.4.3 ist im Plugin Directory verfügbar, im automatischen Download wird sie (mir) noch nicht angeboten.
Im Changelog steht nur relativ lapidar:

3.4.3

  • Security hardening.

Update 2:

Da geht noch mehr – bitte den Folgebeitrag beachten!

security

Die Security Jungs von Sucuri berichten von einer schweren Sicherheitslücke im beliebten WP Plugin WP-Super-Cache.

Durch eine XSS Lücke ist es Angreifern möglich, über eine spezielle Abfrage, Schadcode an das Plugin zu übermitteln.
Der Administrator müsste dann zwar tätig werden, damit der Exploit klappt, aber damit könnten dann Hintertüren in WordPress installiert, oder neue Administratoren angelegt werden.

Das Problem wurde in Version 1.4.4 von WP-Super-Cache behoben – bitte unbedingt und dringend auf diese Version updaten!

Bei Sucuri empfiehlt es sich, den Newsletter zu abonnieren – dann kriegt ihr ziemlich direkt mit, wenn sich Sicherheitslücken auftun.