Logo von Security

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.685.380 Produkten

Fabian A. Scherschel 220

Alert WordPress 4.7.2: Entwickler verschweigen kritische Sicherheitslücke

WordPress 4.7.2: Entwickler verschweigen kritische Sicherheitslücke

Die Variable $id wird hier als Integer gespeichert, was die Authentifizierungsprüfung an anderer Stelle ad absurdum führt.

Bild: Sucuri

Mit dem jüngsten Update haben die Entwickler des beliebten CMS eine kritische Lücke gestopft und das Ausmaß des Problems absichtlich verharmlost, um Anwendern mehr Zeit zum Patchen zu geben. Leidtragende dieser Strategie sind Nutzer ohne Auto-Updates.

Das von den WordPress-Entwicklern vergangene Woche veröffentlichte Update auf Version 4.7.2 hat eine kritische Sicherheitslücke geschlossen, über die unangemeldete Angreifer aus der Ferne Schadcode in beliebige Seiten des CMS einschleusen können. Das WordPress-Sicherheitsteam hat die wahre Natur dieser Lücke absichtlich geheimgehalten. Wer eine WordPress-Installation betreibt und keine automatischen Updates erhält oder das Update nicht bereits manuell nachinstalliert hat, sollte nun schleunigst handeln. Admins verwundbarer WordPress-Versionen riskieren, dass der Inhalt ihrer Seiten gelöscht oder über diese Schadcode verteilt wird.

Anzeige

Die Lücke steckt in dem mit Version 4.7 eingeführten WordPress REST API. Seit WordPress 4.7 ist dieses API standardmäßig aktiviert und lässt sich aus dem Admin-Interface des CMS auch nicht mehr abschalten. Da die WordPress-Entwickler bei der Validierung von Eingaben an das API geschlampt haben, sind alle Installationen von WordPress 4.7 und 4.7.1 angreifbar. Mit einfachen JSON-Anfragen kann bei diesen Versionen jedermann übers Netz WordPress-Seiten manipulieren. Wer die Updates noch nicht eingespielt hat, sollte dies nun dringend erledigen.

Die kritische Lücke wurde von einem Sicherheitsforscher der Firma Sucuri entdeckt und am 20. Januar an WordPress gemeldet. Das Sicherheitsteam entschied sich daraufhin nach eigenen Angaben, die Lücke zu schließen und in seinen Update-Notizen zu verharmlosen, um Anwendern Zeit zum Einspielen von Updates zu geben. Es befürchtete, dass Angreifer sofort auf die Lücke angesprungen wären, wenn das Team deren Details bekannt gemacht hätte. Diese Entscheidung führte dazu, dass sämtliche Berichterstattung über die Lücke unter falschen Voraussetzungen stattfand. So fiel auch die Einschätzung von heise Security und vom Bundesamt für Sicherheit in der Informationstechnik (BSI) zum Schweregrad der Lücke zu harmlos aus.

Die Leidtragenden sind vor allem die WordPress-Nutzer, die aus verschiedenen Gründen die Auto-Updatefunktion des CMS nicht aktiviert haben – zum Beispiel weil sie mit der Konfiguration ihres Webhosters nicht kompatibel ist. Für die Zukunft heißt das wohl, dass sich WordPress-Nutzer nicht mehr auf die Einschätzung zur Priorität von Updates der Entwickler verlassen können und alle Updates so schnell wie möglich installieren sollten. Wenn irgend möglich, sollten Auto-Updates aktiviert werden.

Wer das REST API nicht nutzt und sich von diesem potenziellen Angriffsweg auf seine Webseite verabschieden will, kann zum Plug-In eines unabhängigen Entwicklers greifen, das Anfragen auf das API mit eine Fehlermeldung an das anfragende System beantwortet. Das verhindert, dass etwaige weitere Programmierfehler in der neuen Funktion die eigene Installation gefährden.

Lesen Sie dazu auch:

(fab)

220 Kommentare

Themen:

Anzeige
  1. Jetzt patchen! Aktive Angriffe auf WordPress-Webseiten

    Jetzt patchen! Aktive Angriffe auf WordPress-Webseiten

    Wer WordPress ab Version 4.7 einsetzt, sollte zügig die aktuelle abgesicherte Version einspielen: Derzeit nutzen Angreifer zielgerichtet eine kritische Sicherheitslücke aus.

  2. Aus dem Reich der Toten: Adobe aktualisiert NPAPI-Flash für Linux

    Aus dem Reich der Toten: Adobe aktualisiert NPAPI-Flash für Linux

    Nach mehr als vier Jahren hat Adobe den Flash Player für Linux aktualisiert. Die letzten Jahre bekam das Browser-Plug-in nur noch kritische Sicherheits-Updates.

  3. WordPress 4.7.1 sagt acht Sicherheitslücken und 62 Bugs Ade

    WordPress 4.7.1 sagt acht Sicherheitslücken und 62 Bugs Ade

    Die Entwickler empfehlen, das Sicherheitsupdate zügig einzuspielen. Unter gewissen Voraussetzungen könnten Angreifer Schadcode ausführen.

  4. Wordpress 4.9 verbessert Customizer und vereinfacht Menüs

    Wordpress 4.9: Customizer

    Das neue Wordpress 4.9 "Tripton" steht ab jetzt als Update zur Verfügung. Im Mittelpunkt stehen die weitreichenden Verbesserungen des Customizers.

  1. WordPress: Erste Schritte für die eigene Website

    WordPress: Erste Schritte für die eigene Website

    WordPress ist das populärste Content-Management-System der Welt. Kein Wunder: Die Software ist einfach zu bedienen, kostenlos und flexibel erweiterbar. Zahlreiche Plug-ins und Themes machen das CMS zum Alleskönner.

  2. Software-Updates für Android - so klappt’s

    Software-Updates für dein Android-Smartphone durchzuführen ist ganz einfach. Hier erfährst du, wie es funktioniert.

  3. Die Neuerungen von Linux 4.14

    Linux-Kernel 4.14

    Die neue Kernel-Version bringt Speicherverschlüsselung, einen neuen Schlafmodus und einige Performance-Verbesserungen. Außerdem überwindet sie eine Grenze, die auf die ersten 64-Bit-x86-Prozessoren zurückgeht.

  1. Afrin: "Besorgt" und scheinheilig wegschauen

    Lieber "keine eigenen Erkenntnisse über den Einsatz von Leopard-Panzern"? Von den Schwierigkeiten der deutschen und der US-Regierung sich einzugestehen, wie wichtig ihnen Erdogan ist und vom weiten Weg der YPG zum Kompromiss mit Damaskus

  2. Next-Gen-Spielegrafik: Unity zeigt Techdemo Book of the Dead

    Echte Next-Gen-Spielegrafik: Unity zeigt Techdemo Book of the Dead

    Eine Gruppe von Unity-Entwicklern hat mit Book of the Dead eine Technikdemo erschaffen, die nur noch beim genauen Hinsehen von der Realität zu unterscheiden ist.

  3. HomePod: Apple bringt Siri-Lautsprecher im Frühjahr nach Deutschland

    HomePod

    Mit Verspätung steigt Apple in den Markt der "smarten" Lautsprecher ein: HomePod kommt Anfang Februar in ersten Ländern für 350 Dollar in den Handel. Wichtige Funktionen will der Hersteller erst per Software-Update nachliefern.

  4. DJI Mavic Air filmt in 4K und umfliegt selbstständig Hindernisse

    DJI Mavic Air geleakt: 4K-Drohne mit 21 Minuten Flugzeit

    Die Quadrocopter-Drohne DJI Mavic Air übernimmt viele Features der Mavic Pro, ist aber deutlich preiswerter. Hindernisse umfliegt sie, ohne dass der Pilot sich darum kümmern müsste.

Anzeige