Prof. Dr. G. Hellberg EDV Beratung und Softwareengineering seit 1984
Mailadresse fuer Kontaktaufnahme
NewsNews
 
Die Hellberg EDV Beratung ist SuSE Business Partner
 
Professor Hellberg ist Certified Novell InstructorDie Hellberg EDV Beratung ist Novell Business Partner
 
Die Hellberg EDV Beratung ist Microsoft Partner
 
GDATA Software
 
News Disclaimer
Kritische Cross-Site-Scripting-Lücke in WordPress geschlossen

24.11.2014

 zur Newsdatenbank home

Das WordPress-Team hat am vergangenen Donnerstag die als kritische Updates eingestuften neuen Versionen 4.0.1, 3.9.3, 3.8.5 und 3.7.5 zum Download bereitgestellt. Diese schließen eine Schwachstelle, über die Angreifer im Browser eines WP-Administrators Javascript-Schadcode ausführen konnten, wenn dieser eine Webseite, einen Blog-Post oder die Kommentare liest.

Im einfachsten Fall reichte es, laut Jouko Pynnonen, der den Exploit entdeckte, das Javascript als Kommentar zu hinterlassen. Landet dieser, beispielsweise weil er Links enthält, zum Freischalten in der Moderationswarteschlange, wird der Schadcode, sobald der Seiten-Administrator den Abschnitt Dashboard/Comments besucht, ausgeführt. Ohne dass der Admin etwas davon mitbekäme, könnte das Script dann ein neues Admin-Konto anlegen, das aktuelle Administratoren-Passwort ändern oder weitere Aktionen ausführen, die privilegierte Rechte benötigen. Wenn der Angreifer mit einem Plug-In nun noch PHP-Code auf den Server schreibt, kann er sogar per AJAX-Anfrage Zugriff auf das Betriebssystem erlangen. Da es in der Regel auch möglich ist ohne ein Benutzerkonto Kommentare auf WordPress-Seiten zu hinterlassen, wiegt der Bug umso schwerer. Von der Lücke sind alle WordPress-Versionen bis einschließlich 3.9.2 betroffen, doch auch Nutzer der Version 4 sollten umgehend auf die aktuelle Version 4.0.1 umsteigen, da sie drei weitere XSS-Lücken schließt.

Ebenfalls ist das beliebte Plug-In WP-Statistics von einer XSS-Anfälligkeit betroffen, die mithilfe von JavaScript dazu genutzt werden könnte, Administratorrechte zu erlangen. Auf dem Blog der Internet-Sicherheitsfirma Sucuri erklärt Marc-Alexandre Montpas: "Ein Angreifer kann den Browser eines Angriffsziels dazu zwingen, Stored Cross-Site-Scripting- oder Reflected-XSS-Angriffe zu nutzen, um damit administrative Aufgaben für ihn ausführen zu lassen. Über diese Schwachstelle ließen sich neue Administratoren-Konten erstellen, SEO-Spam in Blog-Posts einfügen sowie diverse weitere Aktionen aus dem Administrations-Bereich von WordPress heraus ausführen." und empfiehlt dringend, die inzwischen erschienene Version WP-Statistics 8.3.1 einzuspielen.

(mt, hannover)

(siehe auch heise-News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE
 
 
 

News - Hellberg EDV - Seminare - Betriebssysteme - Sicherheit und mehr... - AG - FAQs
Nehmen Sie mit uns Kontakt auf.
 
Sonnenweg 7     30171 Hannover     Tel.: 0511 / 288 25 90     Fax: 0511 / 288 25 89