Kritische Sicherheitslücke in WordPress

28. April 2015

Angesichts der potentiellen Auswirkung der Lücke und der hohen Anzahl an installierten WordPress Content Management Systemen bittet CERT.at um Beachtung der folgenden Hinweise.

Beschreibung

Wie gestern (27. April) bekannt wurde, gibt es eine Sicherheitslücke in WordPress.

Am Abend wurde dann auch noch ein Patch für dieses Problem veröffentlicht.

Auswirkungen

Angreifer können JavaScript Code in Kommentaren hinterlegen, der dann unter bestimmten Umständen in weiterer Folge dazu führen kann, dass (durch die Themen/Plugin Funktionen) beliebiger Code auf dem Webserver ausgeführt wird.

Da WordPress-Installationen generell ein beliebtes Ziel von Angreifern (Website Defacements, Fake Pharmacy Hacks, Search Engine Ranking etc.) sind, ist davon auszugehen, dass entsprechende Angriffe bereits entwickelt werden, und in naher Zukunft automatisiert durchgeführt werden.

Betroffene Systeme

Alle WordPress-Installationen bis inkl. Version 4.2, wenn die Kommentar-Funktion aktiviert ist.

Weitere Details sind in der Meldung von Klikky Oy verfügbar.

Abhilfe

  • Upgrade auf die entsprechend angepasste Version 4.2.1, Download zB via WordPress.org oder über die eingebaute Update-Funktionalität ("Dashboard -> Updates").
  • Für Situationen, wo ein Upgrade nicht (einfach) möglich ist, ist momentan ein vollständiges Deaktivieren der Kommentar-Funktionen zu empfehlen - ein Umschalten auf "moderierte" Kommentare reicht nicht aus.

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.
Informationsquelle(n):

Meldung von Klikky Oy (englisch)
http://klikki.fi/adv/wordpress2.html
Meldung bei futurezone.at
http://futurezone.at/digital-life/sicherheitsluecke-macht-wordpress-websites-angreifbar/127.443.749
WordPress 4.2.1 Security Release (englisch)
https://wordpress.org/news/2015/04/wordpress-4-2-1/