Abo
  • Services:
Anzeige
Das Wordpress-Logo.
Das Wordpress-Logo. (Bild: Wordpress)

Blog-Software: Gravierender Fehler in Wordpress Auto-Update gefunden

Das Wordpress-Logo.
Das Wordpress-Logo. (Bild: Wordpress)

Weil der zentrale Update-Server von Wordpress unsichere Hashfunktionen zulässt, hätten Angreifer Code ausführen und massenhaft Wordpress-Installationen angreifen können. Die Sicherheitslücke wurde mittlerweile geschlossen.

Die Wordpress-Entwickler haben eine kritische Schwachstelle im Update-Server des Unternehmens geschlossen. Angreifer hätten eine schwache Hashfunktion ausnutzen können, die eigentlich sicherstellen sollte, dass verifizierte Entwickler Änderungen von der Programmierplattform Github einspielen, wie die Sicherheitsfirma Wordfence schreibt.

Anzeige

Kritische Komponenten von Wordpress-Blogs werden seit der Version 3.7 automatisch eingespielt, um die Sicherheit zu verbessern. Wenn die Sicherheit des zentralen Update-Mechanismus ausgehebelt wird, kann das aber zum Problem werden.

Das Problem liegt konkret im Server unter der Adresse api.wordpress.org. Mit diesem Server nehmen Wordpress-Installationen etwa ein Mal die Stunde Kontakt auf, um zu prüfen, ob Updates vorliegen. Wenn ein Update notwendig ist, stellt der Server den Clients einen Link zur Verfügung, unter dem das Update abgerufen werden kann - bei den Core-Komponenten geschieht das automatisch.

Keine Signaturprüfung für Updates

Problematisch ist das, weil die Wordpress-Installationen allen Informationen vertrauen, die der Server sendet. Eine Überprüfung der angebotenen Software mittels Signaturen findet also nicht statt.

Die Schwachstelle, die Angreifer ausnutzen konnten, lag in der Verbindung zwischen dem Update-Server und Github. Von dort können die Wordpress-Entwickler Änderungen am Code über einen Github Webhook auf den Server pushen. Bei Webhook handelt es sich um ein PHP-Skript, das die eigentliche Sicherheitslücke enthält, die die Ausführung von Code aus der Ferne ermöglicht.

Github sendet ein Paket mit JSON-Daten an den Webhook, außerdem wird der Nachricht ein "geteiltes Geheimnis" hinzugefügt, daraus wird dann per SHA-1 ein Hashwert errechnet. Api.wordpress.com nimmt dann die Daten entgegen, vergleicht die Hashwerte und spielt die Updates ein, wenn die Werte übereinstimmen.

Wordpress hatte die Funktion jedoch so implementiert, dass vom Sender auch ein anderer Hashing-Algorithmus genutzt werden kann. Die Sicherheitsforscher nutzten einen kryptographisch unsicheren Hashing-Algorithmus, der eigentlich nur zur Berechnung von Checksummen genutzt wird, um Anfragen zu stellen. Auf diese Weise gelang es ihnen, per Brute-Force-Angriff an das "geteilte Geheimnis" zu kommen. Um einen solchen Angriff erfolgreich durchzuführen, müssten etwa 100.000 bis 400.000 Anfragen mit zufälligen Schlüsseln gesendet werden.

Wordpress hat die Sicherheitslücke bereits Anfang September, wenige Tage nach der Meldung durch Wordfence, geschlossen. Eine Überprüfung der ausgelieferten Updates findet aber nach wie vor nicht statt.


eye home zur Startseite
My1 24. Nov 2016

naja wenn man auf biegen und brechen support mit uralten und unsicheren versionen setzt...

Themenstart

nachgefragt 24. Nov 2016

das eine hat mit dem anderen nichts zu tun. wenn man mit bedacht eine nicht mehr...

Themenstart

My1 24. Nov 2016

dem stimme ich zu. man muss nicht alles auf zwang mit nicht mehr supporteten versionen...

Themenstart

burzum 24. Nov 2016

Ein Blick auf den Code zeigt recht fix das dies keine Alternative, sondern der gleiche...

Themenstart

vbot 23. Nov 2016

Fahrradkette. :) - Feierabend.

Themenstart

Kommentieren



Anzeige

Stellenmarkt
  1. Alfred Kärcher GmbH & Co. KG, Winnenden bei Stuttgart
  2. über SCHLAGHECK RADTKE OLDIGES executive consultants GmbH, Süd­deutschland
  3. Daimler AG, Leinfelden-Echterdingen
  4. Landeshauptstadt München, München


Anzeige
Hardware-Angebote
  1. und 19 % Cashback bekommen
  2. 15€ sparen mit Gutscheincode GTX15
  3. 379,90€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing
  2. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes
  3. Sicherheitsrisiken bei der Dateifreigabe & -Synchronisation


  1. Rockstar Games

    Spieleklassiker Bully für Mobile-Geräte erhältlich

  2. Crimson Relive Grafiktreiber

    AMD lässt seine Radeon-Karten chillen und streamen

  3. Layout Engine

    Facebook portiert CSS-Flexbox für native Apps

  4. Creators Update für Windows 10

    Microsoft wird neue Sicherheitsfunktionen bieten

  5. Landgericht Traunstein

    Postfach im Impressum einer Webseite nicht ausreichend

  6. Big-Jim-Sammelfiguren

    Ebay-Verkäufer sind ehrlich geworden

  7. Musikstreaming

    Soundcloud startet Abo-Service in Deutschland

  8. Frankreich

    Filmförderung über "Youtube-Steuer"

  9. Galaxy S8

    Samsung will auf Klinkenbuchse verzichten

  10. Asteroid OS

    Erste Alpha-Version von offenem Smartwatch-OS veröffentlicht



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Star Wars Rogue One VR Angespielt: "S-Flügel in Angriffsposition!"
Star Wars Rogue One VR Angespielt
"S-Flügel in Angriffsposition!"
  1. Electronic Arts Battlefield 1 läuft offenbar viel besser als Battlefield 4
  2. Battlefield 1 im Test Kaiserschlacht und Kriegstauben der Spitzenklasse
  3. Electronic Arts Battlefield 1 erscheint mit 16er-USK

Kosmobits im Test: Tausch den Spielecontroller gegen einen Mikrocontroller!
Kosmobits im Test
Tausch den Spielecontroller gegen einen Mikrocontroller!
  1. HiFive 1 Entwicklerboard mit freiem RISC-Prozessor verfügbar
  2. Simatic IoT2020 Siemens stellt linuxfähigen Arduino-Klon vor
  3. Calliope Mini Mikrocontroller-Board für deutsche Schüler angekündigt

Gigaset Mobile Dock im Test: Das Smartphone wird DECT-fähig
Gigaset Mobile Dock im Test
Das Smartphone wird DECT-fähig

  1. Re: Mittlerweile habe ich fast schon eine...

    wasabi | 15:00

  2. Re: Erneut das Thema über die Klinkenbuchse

    M.P. | 14:59

  3. Re: Die Logik erschließt sich mir nicht

    david_rieger | 14:58

  4. Re: Bei den heutigen Kinopreisen

    ghostinthemachine | 14:58

  5. Re: Kein Kopfhöreranschluß? Unglaublich..

    7hyrael | 14:57


  1. 15:04

  2. 15:00

  3. 14:04

  4. 13:41

  5. 12:42

  6. 12:02

  7. 11:48

  8. 11:40


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel