Logo von Security

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.508.171 Produkten

Fabian A. Scherschel 220

Alert WordPress 4.7.2: Entwickler verschweigen kritische Sicherheitslücke

WordPress 4.7.2: Entwickler verschweigen kritische Sicherheitslücke

Die Variable $id wird hier als Integer gespeichert, was die Authentifizierungsprüfung an anderer Stelle ad absurdum führt.

Bild: Sucuri

Mit dem jüngsten Update haben die Entwickler des beliebten CMS eine kritische Lücke gestopft und das Ausmaß des Problems absichtlich verharmlost, um Anwendern mehr Zeit zum Patchen zu geben. Leidtragende dieser Strategie sind Nutzer ohne Auto-Updates.

Das von den WordPress-Entwicklern vergangene Woche veröffentlichte Update auf Version 4.7.2 hat eine kritische Sicherheitslücke geschlossen, über die unangemeldete Angreifer aus der Ferne Schadcode in beliebige Seiten des CMS einschleusen können. Das WordPress-Sicherheitsteam hat die wahre Natur dieser Lücke absichtlich geheimgehalten. Wer eine WordPress-Installation betreibt und keine automatischen Updates erhält oder das Update nicht bereits manuell nachinstalliert hat, sollte nun schleunigst handeln. Admins verwundbarer WordPress-Versionen riskieren, dass der Inhalt ihrer Seiten gelöscht oder über diese Schadcode verteilt wird.

Die Lücke steckt in dem mit Version 4.7 eingeführten WordPress REST API. Seit WordPress 4.7 ist dieses API standardmäßig aktiviert und lässt sich aus dem Admin-Interface des CMS auch nicht mehr abschalten. Da die WordPress-Entwickler bei der Validierung von Eingaben an das API geschlampt haben, sind alle Installationen von WordPress 4.7 und 4.7.1 angreifbar. Mit einfachen JSON-Anfragen kann bei diesen Versionen jedermann übers Netz WordPress-Seiten manipulieren. Wer die Updates noch nicht eingespielt hat, sollte dies nun dringend erledigen.

Verharmlosung ist Programm

Die kritische Lücke wurde von einem Sicherheitsforscher der Firma Sucuri entdeckt und am 20. Januar an WordPress gemeldet. Das Sicherheitsteam entschied sich daraufhin nach eigenen Angaben, die Lücke zu schließen und in seinen Update-Notizen zu verharmlosen, um Anwendern Zeit zum Einspielen von Updates zu geben. Es befürchtete, dass Angreifer sofort auf die Lücke angesprungen wären, wenn das Team deren Details bekannt gemacht hätte. Diese Entscheidung führte dazu, dass sämtliche Berichterstattung über die Lücke unter falschen Voraussetzungen stattfand. So fiel auch die Einschätzung von heise Security und vom Bundesamt für Sicherheit in der Informationstechnik (BSI) zum Schweregrad der Lücke zu harmlos aus.

Die Leidtragenden sind vor allem die WordPress-Nutzer, die aus verschiedenen Gründen die Auto-Updatefunktion des CMS nicht aktiviert haben – zum Beispiel weil sie mit der Konfiguration ihres Webhosters nicht kompatibel ist. Für die Zukunft heißt das wohl, dass sich WordPress-Nutzer nicht mehr auf die Einschätzung zur Priorität von Updates der Entwickler verlassen können und alle Updates so schnell wie möglich installieren sollten. Wenn irgend möglich, sollten Auto-Updates aktiviert werden.

WordPress REST API deaktivieren

Wer das REST API nicht nutzt und sich von diesem potenziellen Angriffsweg auf seine Webseite verabschieden will, kann zum Plug-In eines unabhängigen Entwicklers greifen, das Anfragen auf das API mit eine Fehlermeldung an das anfragende System beantwortet. Das verhindert, dass etwaige weitere Programmierfehler in der neuen Funktion die eigene Installation gefährden.

Lesen Sie dazu auch:

(fab)

220 Kommentare

Themen:

Anzeige
  1. Jetzt patchen! Aktive Angriffe auf WordPress-Webseiten

    Jetzt patchen! Aktive Angriffe auf WordPress-Webseiten

    Wer WordPress ab Version 4.7 einsetzt, sollte zügig die aktuelle abgesicherte Version einspielen: Derzeit nutzen Angreifer zielgerichtet eine kritische Sicherheitslücke aus.

  2. Aus dem Reich der Toten: Adobe aktualisiert NPAPI-Flash für Linux

    Aus dem Reich der Toten: Adobe aktualisiert NPAPI-Flash für Linux

    Nach mehr als vier Jahren hat Adobe den Flash Player für Linux aktualisiert. Die letzten Jahre bekam das Browser-Plug-in nur noch kritische Sicherheits-Updates.

  3. WordPress 4.7.1 sagt acht Sicherheitslücken und 62 Bugs Ade

    WordPress 4.7.1 sagt acht Sicherheitslücken und 62 Bugs Ade

    Die Entwickler empfehlen, das Sicherheitsupdate zügig einzuspielen. Unter gewissen Voraussetzungen könnten Angreifer Schadcode ausführen.

  4. Kardinalfehler im WordPress-Update-Server: 27 Prozent aller Webseiten sollen gefährdet gewesen sein

    Kardinalfehler im WordPress-Update-Server: 27 Prozent aller Webseiten im Internet sollen gefährdet gewesen sein

    Angreifer hätten den offiziellen WordPress-Server zum Ausspielen von Updates für eigene Zwecke missbrauchen können, um so unzählige Seiten zu kapern. Mittlerweile soll die Schwachstelle geschlossen sein.

  1. Software-Updates für Android - so klappt’s

    Software-Updates für dein Android-Smartphone durchzuführen ist ganz einfach. Hier erfährst du, wie es funktioniert.

  2. Die Neuerungen von Linux 4.11

    Linux-Kernel 4.11

    Die neue Kernel-Version unterstützt moderne Stromspartechniken besser und kann so die Akkulaufzeit steigern. Die Entwickler haben Grundlagen gelegt, um auf x86-64-Systemen bald bis zu 1 Petabyte Arbeitsspeicher ansprechen zu können. Die nächste Kernel-Version bringt zudem eine Technik, um die 3D-Beschleunigung von Radeon-GPUs in VMs nutzen zu können. Auch die Unterstützung für den Raspberry Pi wird besser.

  3. Die Neuerungen von Linux 4.14

    Linux-Kernel 4.14

    Die neue Kernel-Version bringt Speicherverschlüsselung, einen neuen Schlafmodus und einige Performance-Verbesserungen. Außerdem überwindet sie eine Grenze, die auf die ersten 64-Bit-x86-Prozessoren zurückgeht.

  1. Erste Ausfahrt: Jaguar E-Pace

    Jaguar E-Pace

    SUV plus gehobenes Image gleich Erfolg? Für Jaguar könnte diese Rechnung mit dem neuen E-Pace aufgehen. Eine erste Ausfahrt zeigt jedoch, dass ein klangvoller Name nicht alle Schwächen überdecken kann

  2. Vodafone schaltet UMTS-Femtozellen ab

    SIM Karte

    Vodafone kündigt Verträge für UMTS-Femtozellen, die in Gebäuden für eine bessere Mobilfunkanbindung sorgen.

Anzeige