Beiträge

WordPress Security Update auf Version 4.3.1 und 4.2.5 erschienen

security

Soeben erschienen ist Version 4.3.1 (4.2.5, 4.1.8, etc) von WordPress.

Dieser Version schließt eine XSS Lücke beim bearbeiten von Shortcode Tags (CVE-2015-5714), welcher von Shanar Tal und Netanel Rubin von Check Point gemeldet wurde.
Die Beiden haben auch eine weitere Lücke gefunden, hier war es Benutzern möglich, private Einträge zu posten und diese fest zu pinnen(CVE-2015-5715).

Eine weitere Lücke hat das WordPress Security Team selbst gefunden – auch diese XSS Lücke in der Benutzer Tabelle wurde geschlossen.

Zusätzlich werden mit dem Update 26 Fehler behoben – kann man in den Release Notes nachlesen.

Das Update wird derzeit über die Auto Update Funktion ausgerollt, kann aber natürlich auch manuell installiert werden.

Bitte schaut, dass eure Installationen entsprechend aktualisiert werden!

Security: JetPack Plugin und TwentyFifteen Theme mit Sicherheitslücke

security

Es tut sich eine neue Lücke auf – dieses mal sind das TwentyFifteen Theme, standardmäßig in WordPress Installationen enthalten, sowie das Jetpack Plugin betroffen.
Genauer gesagt geht es um das hier enthaltene genericons Paket, welches laut Sucuri anfällig für einen DOM-basierten XSS Angriff ist. Schuld hieran ist die Datei example.html, welche hier enthalten ist.

Das Problem bei DOM-basierten Angriffen ist, dass es sich um einen lokal am Client ausgeführten Angriff handelt. Dieser lässt sich daher auch nicht Server seitig blockieren oder verhindern, etwa durch Webseiten Firewalls.
Allerdings muss die kompromitierte URL gezielt aufgerufen werden, was aber unbedarften Anwendern vermutlich nicht auffällt.

Das Problem lässt sich leicht lösen, indem man die example.html Datei aus dem genericons Verzeichnis löscht.
Soeben sind auch Updates für Jetpack sowie TwentyFifteen erschienen.

Da das genericons Paket allerdings auch in anderen Themes verwendet wurde – solltet ihr eure Installation auf das Vorhandensein dieser Datei überprüfen.

Wie immer kann ich nur raten regelmäßig seine Installation auf vorhandene Updates zu überprüfen und diese dann auch ein zu spielen.

Bitte beachtet, dass die Lücke auch dann besteht, wenn das Theme gar nicht aktiviert ist – es reicht, dass die Dateien in eurer Installation vorhanden sind!

Update:

Es stehen Updates bereit, siehe auch WordPress 4.1.5 und 4.2.2 sind erschienen

Sicherheit: Viele WordPress Plugins von XSS Lücke betroffen

security

Zuerst die Yoast Lücke – dann folgte Jetpack..

Nun sieht es so aus, dass diese Plugins verwundbar sind, weil sie die Funktionen add_query_arg() und remove_query_arg() fehlerhaft nutzen. Diese Funktionen sind bei Entwicklern von WordPress sehr beliebt.

Offensichtlich ist es so, dass der WordPress Codex diese Funktionen nicht klar beschreibt und daher viele Entwickler diese auch falsch einsetzen. Konkret werden User Eingaben nicht automatisch geschützt. Dadurch werden die Plugins dann für XSS Angriffe nutzbar.

Die Liste der  300-400 meist genutzten Plugins wurde von Sucuri überprüft, dabei wurden etliche entdeckt, welche angreifbar sind:

(Quelle: Sucuri)

Man sollte jetzt dringend sein Dashboard aufrufen und verfügbare Updates für verwendete Plugins einspielen, denn diese Liste wird sicherlich noch länger werden!

Man kann es nicht oft genug erwähnen – Updates sind wichtig – Backups sind wichtig!

Happy patching!

Update 21.04.15:

Hier sind die Links zu den einzelnen betroffenen Plugins aus der WPScan Vulnerability Database

Ich vermute mal, dass diese Liste noch länger wird!