Beiträge

WordPress Sicherheitsupdate 4.4.1 erschienen – XSS Lücke geschlossen

security

Soeben erschienen ist Version 4.4.1 von WordPress * – mit diesem Release wird eine Sicherheitslücke geschlossen, die es einem Angreifer ermöglicht per cross-site scripting die Seite zu kompromitieren.

Wordpress 4.4.1

Die Release Notes  listen 52 behobene Fehler auf, unter anderem wurden auch die Emojis auf den neuesten Stand gebracht (so wirst du sie wieder los 🙂 ) und Probleme in Hinblick auf alte Versionen von OpenSSL und Plugins behoben.

Bitte aktualisiert eure Installation im Backend, die Auto Updates werden derzeit ausgerollt.

*betroffen sind auch ältere Versionen von WordPress, auch hier stehen Updates zur Verfügung!

Sicherheit: WordPress 4.2 Stored XSS Lücke

security

Neue Woche – Neues Loch.

Über die WordPress Kommentar Funktion kann laut klikki.fi ein nicht angemeldeter Benutzer JavaScript in die WordPress Kommentare einschleusen. Diese Skripte werden dann ausgeführt, sobald der Kommentar gelesen wird.
Wenn die Ausführung durch einen eingeloggten Administrator geschieht, dann kann der Angreifer die Lücke nutzen um beliebigen Code auf dem Server auszuführen (Admin Kennwörter ändern, neue Admin Accounts anlegen – sprich alles, was der eingeloggte Admin auch machen könnte).

Damit das alles klappt muss der Kommentar sehr lang sein, genauer gesagt größer als 64kb. Danach wird der Kommentar beim Einfügen in die Datenbank abgeschnitten, was zu einer falschen HTML Ausgabe führt.

Genauer Informationen und ein Proof of Concept inkl. Video findet ihr bei Klikki

Betroffen sind mindestens die WordPress Versionen 4.2, 4.1.2, 4.1.1, 3.9.3

Bis es einen Patch gibt solltet ihr Kommentare deaktivieren und keine neuen Kommentare freigeben.

Update:

Laut WordPress Tavern ist ein Patch in Arbeit.

A patch from the WordPress security team should be forthcoming. At this time the team could not provide an ETA, but in the meantime there are a few things users can do to mitigate the risk.

 

Update 2:

Die Lücke wurde soeben mit den Versionen 4.1.4 und 4.2.1 gestopft!
Was allerdings auch bedeutet, dass ältere Versionen immer noch von dem Problem betroffen sind!

VIA

Sicherheit: WordPress 4.1.2 stopft Loch in allen WordPress Version

security

Schlag auf Schlag geht es weiter.

Gerade kommt die Mitteilung, dass ALLE WordPress Versionen eine XSS Verwundbarkeit haben.
Dadurch kann es anonymen Nutzern gelingen eine Seite zu kompromittieren.

Diese Lücke – sowie 3 weitere Lücken – werden mit dem WordPress 4.1.2 Security Release gepatcht.

Ihr solltet also DRINGEND alle euer Dashboard besuchen und ein Update von WordPress sowie euren Plugins vornehmen!