Logo von Security

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.733.931 Produkten

Fabian A. Scherschel 220

Alert WordPress 4.7.2: Entwickler verschweigen kritische Sicherheitslücke

WordPress 4.7.2: Entwickler verschweigen kritische Sicherheitslücke

Die Variable $id wird hier als Integer gespeichert, was die Authentifizierungsprüfung an anderer Stelle ad absurdum führt.

Bild: Sucuri

Mit dem jüngsten Update haben die Entwickler des beliebten CMS eine kritische Lücke gestopft und das Ausmaß des Problems absichtlich verharmlost, um Anwendern mehr Zeit zum Patchen zu geben. Leidtragende dieser Strategie sind Nutzer ohne Auto-Updates.

Das von den WordPress-Entwicklern vergangene Woche veröffentlichte Update auf Version 4.7.2 hat eine kritische Sicherheitslücke geschlossen, über die unangemeldete Angreifer aus der Ferne Schadcode in beliebige Seiten des CMS einschleusen können. Das WordPress-Sicherheitsteam hat die wahre Natur dieser Lücke absichtlich geheimgehalten. Wer eine WordPress-Installation betreibt und keine automatischen Updates erhält oder das Update nicht bereits manuell nachinstalliert hat, sollte nun schleunigst handeln. Admins verwundbarer WordPress-Versionen riskieren, dass der Inhalt ihrer Seiten gelöscht oder über diese Schadcode verteilt wird.

Anzeige

Die Lücke steckt in dem mit Version 4.7 eingeführten WordPress REST API. Seit WordPress 4.7 ist dieses API standardmäßig aktiviert und lässt sich aus dem Admin-Interface des CMS auch nicht mehr abschalten. Da die WordPress-Entwickler bei der Validierung von Eingaben an das API geschlampt haben, sind alle Installationen von WordPress 4.7 und 4.7.1 angreifbar. Mit einfachen JSON-Anfragen kann bei diesen Versionen jedermann übers Netz WordPress-Seiten manipulieren. Wer die Updates noch nicht eingespielt hat, sollte dies nun dringend erledigen.

Die kritische Lücke wurde von einem Sicherheitsforscher der Firma Sucuri entdeckt und am 20. Januar an WordPress gemeldet. Das Sicherheitsteam entschied sich daraufhin nach eigenen Angaben, die Lücke zu schließen und in seinen Update-Notizen zu verharmlosen, um Anwendern Zeit zum Einspielen von Updates zu geben. Es befürchtete, dass Angreifer sofort auf die Lücke angesprungen wären, wenn das Team deren Details bekannt gemacht hätte. Diese Entscheidung führte dazu, dass sämtliche Berichterstattung über die Lücke unter falschen Voraussetzungen stattfand. So fiel auch die Einschätzung von heise Security und vom Bundesamt für Sicherheit in der Informationstechnik (BSI) zum Schweregrad der Lücke zu harmlos aus.

Die Leidtragenden sind vor allem die WordPress-Nutzer, die aus verschiedenen Gründen die Auto-Updatefunktion des CMS nicht aktiviert haben – zum Beispiel weil sie mit der Konfiguration ihres Webhosters nicht kompatibel ist. Für die Zukunft heißt das wohl, dass sich WordPress-Nutzer nicht mehr auf die Einschätzung zur Priorität von Updates der Entwickler verlassen können und alle Updates so schnell wie möglich installieren sollten. Wenn irgend möglich, sollten Auto-Updates aktiviert werden.

Wer das REST API nicht nutzt und sich von diesem potenziellen Angriffsweg auf seine Webseite verabschieden will, kann zum Plug-In eines unabhängigen Entwicklers greifen, das Anfragen auf das API mit eine Fehlermeldung an das anfragende System beantwortet. Das verhindert, dass etwaige weitere Programmierfehler in der neuen Funktion die eigene Installation gefährden.

Lesen Sie dazu auch:

(fab)
Anzeige

220 Kommentare

Themen:

Anzeige
  1. Wordpress 4.9 verbessert Customizer und vereinfacht Menüs

    Wordpress 4.9: Customizer

    Das neue Wordpress 4.9 "Tripton" steht ab jetzt als Update zur Verfügung. Im Mittelpunkt stehen die weitreichenden Verbesserungen des Customizers.

  2. Cisco fahndet nach kritischer Apache-Struts-Lücke in seinen Produkten

    Cisco fahndet nach Apache-Struts-Lücken in seinen Produkten

    Der Netzwerkausrüster prüft derzeit, welche Produkte eine verwundbare Version von Apache Struts einsetzen. Darin klafft eine kritische Sicherheitslücke. Updates sind angekündigt.

  3. Jetzt patchen! SQL-Injection-Lücke bedroht WordPress

    Jetzt patchen! SQL-Lücke bedroht WordPress

    Die abgesicherte WordPress-Version 4.8.3 ist erschienen. Nutzer sollten diese zügig installieren, da Angreifer Webseiten via SQL-Injection-Attacke übernehmen könnten.

  4. "Display Widgets": WordPress-Plugin mit Backdoor aus Repository entfernt

    Über 200.000 Installationen: WordPress-Plugin mit Backdoor aus Repository entfernt

    Ein Plugin zur Verwaltung von WordPress-Widgets enthielt eine Backdoor, die dessen Herausgeber über Monate hinweg den Fernzugriff ermöglichte. Nun wurde es endgültig aus dem WordPress-Repository entfernt. Ein Update säubert bestehende Installationen.

  1. WordPress: Erste Schritte für die eigene Website

    WordPress: Erste Schritte für die eigene Website

    WordPress ist das populärste Content-Management-System der Welt. Kein Wunder: Die Software ist einfach zu bedienen, kostenlos und flexibel erweiterbar. Zahlreiche Plug-ins und Themes machen das CMS zum Alleskönner.

  2. Software-Updates für Android - so klappt’s

    Software-Updates für Ihr Android-Smartphone durchzuführen ist ganz einfach. Hier erfahren Sie, wie es funktioniert.

  3. FritzBox updaten - so geht's

    AVM Fritzbox 7490

    Sie möchten Ihre FritzBox auf die neueste Firmware updaten? Wir zeigen Ihnen, wie Sie ein Update installieren.

  1. Test: Citroёn C3 Aircross BlueHDI 100

    Citroen C3 Aircross

    Mit dem C3 Aircross will Citroёn ein Stück vom boomenden Mini-SUV-Segment mit hochgebockten Frontantriebskleinwagen abhaben. Der expressive Franzose soll besonders komfortabel und praktisch sein. Kann er das im Alltag bestätigen?

  2. Breitbandausbau: Bauern klagen über langsames Internet

    LTE auf dem Land

    Langsames Internet, schlechtes Mobilfunknetz – das ist auf dem Land oft noch Alltag. Auch für Landwirte ist das ein Problem. Der Bauernverband fordert die Bundesregierung zu mehr Anstrengungen auf.

  3. Private Videoüberwachung: Illegaler Einsatz ist strafbar

    Überwachung im Innenhof: Beschwerden von Nachbarn nehmen zu

    Private Überwachungskameras hängen in Hauseingängen oder an Balkonen, filmen den Innenhof oder Besucher im Hausflur. Immer mehr Menschen sehen sich dadurch belästigt. Berlins Datenschutzbeauftragte bekommt es zu spüren.

  4. Missing Link: Im Takt der Maschine, oder: Wenn Roboter regieren

    Missing Link: Im Takt der Maschine, oder: Wenn Roboter regieren

    Weltuntergangsszenarien sind en vogue, wenn die Stichworte Künstliche Intelligenz und Roboter fallen. Die Machtergreifung der Maschinen aber findet bereits statt. Dabei ist eine Mensch-Maschine-Beziehung möglich, die uns von entfremdeter Arbeit befreit.

Anzeige