Deutsch | English

Kritische Sicherheitslücke in WordPress

28. April 2015

Angesichts der potentiellen Auswirkung der Lücke und der hohen Anzahl an installierten WordPress Content Management Systemen bittet CERT.at um Beachtung der folgenden Hinweise.

Beschreibung

Wie gestern (27. April) bekannt wurde, gibt es eine Sicherheitslücke in WordPress.

Am Abend wurde dann auch noch ein Patch für dieses Problem veröffentlicht.

Auswirkungen

Angreifer können JavaScript Code in Kommentaren hinterlegen, der dann unter bestimmten Umständen in weiterer Folge dazu führen kann, dass (durch die Themen/Plugin Funktionen) beliebiger Code auf dem Webserver ausgeführt wird.

Da WordPress-Installationen generell ein beliebtes Ziel von Angreifern (Website Defacements, Fake Pharmacy Hacks, Search Engine Ranking etc.) sind, ist davon auszugehen, dass entsprechende Angriffe bereits entwickelt werden, und in naher Zukunft automatisiert durchgeführt werden.

Betroffene Systeme

Alle WordPress-Installationen bis inkl. Version 4.2, wenn die Kommentar-Funktion aktiviert ist.

Weitere Details sind in der Meldung von Klikky Oy verfügbar.

Abhilfe

  • Upgrade auf die entsprechend angepasste Version 4.2.1, Download zB via WordPress.org oder über die eingebaute Update-Funktionalität ("Dashboard -> Updates").
  • Für Situationen, wo ein Upgrade nicht (einfach) möglich ist, ist momentan ein vollständiges Deaktivieren der Kommentar-Funktionen zu empfehlen - ein Umschalten auf "moderierte" Kommentare reicht nicht aus.

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.
Informationsquelle(n):

Meldung von Klikky Oy (englisch)
http://klikki.fi/adv/wordpress2.html
Meldung bei futurezone.at
http://futurezone.at/digital-life/sicherheitsluecke-macht-wordpress-websites-angreifbar/127.443.749
WordPress 4.2.1 Security Release (englisch)
https://wordpress.org/news/2015/04/wordpress-4-2-1/
Email: reports@cert.at
Tel.: +43 1 5056416 78
mehr ...
Kritische Sicherheitslücken in Adobe Flash Player/Libraries - Patches nun auch für Microsoft Browser verfügbar
22. Februar 2017 | Beschreibung Adobe ...
Update: Kritische Lücke in Microsoft Windows ermöglicht DoS / Remote Code Execution via SMB - Updates nun verfügbar
3. Februar 2017 | ...
mehr ...
Workaround? Abdrehen!
21. März 2017 | Langsam ...
Propaganda auf Twitter
15. März 2017 | Der echte ...
mehr ...
Jahresbericht 2016
Ein Resumee zur digitalen Sicherheitslage in Österreich

(HTML, PDF).
Letzte Änderung: 2015/4/28 - 10:47:59
Haftungsausschluss