Abo
  • IT-Karriere:

Blog-Software: Gravierender Fehler in Wordpress Auto-Update gefunden

Weil der zentrale Update-Server von Wordpress unsichere Hashfunktionen zulässt, hätten Angreifer Code ausführen und massenhaft Wordpress-Installationen angreifen können. Die Sicherheitslücke wurde mittlerweile geschlossen.

Artikel veröffentlicht am ,
Das Wordpress-Logo.
Das Wordpress-Logo. (Bild: Wordpress)

Die Wordpress-Entwickler haben eine kritische Schwachstelle im Update-Server des Unternehmens geschlossen. Angreifer hätten eine schwache Hashfunktion ausnutzen können, die eigentlich sicherstellen sollte, dass verifizierte Entwickler Änderungen von der Programmierplattform Github einspielen, wie die Sicherheitsfirma Wordfence schreibt.

Stellenmarkt
  1. Haufe Group, Freiburg im Breisgau
  2. Vodafone GmbH, München

Kritische Komponenten von Wordpress-Blogs werden seit der Version 3.7 automatisch eingespielt, um die Sicherheit zu verbessern. Wenn die Sicherheit des zentralen Update-Mechanismus ausgehebelt wird, kann das aber zum Problem werden.

Das Problem liegt konkret im Server unter der Adresse api.wordpress.org. Mit diesem Server nehmen Wordpress-Installationen etwa ein Mal die Stunde Kontakt auf, um zu prüfen, ob Updates vorliegen. Wenn ein Update notwendig ist, stellt der Server den Clients einen Link zur Verfügung, unter dem das Update abgerufen werden kann - bei den Core-Komponenten geschieht das automatisch.

Keine Signaturprüfung für Updates

Problematisch ist das, weil die Wordpress-Installationen allen Informationen vertrauen, die der Server sendet. Eine Überprüfung der angebotenen Software mittels Signaturen findet also nicht statt.

Die Schwachstelle, die Angreifer ausnutzen konnten, lag in der Verbindung zwischen dem Update-Server und Github. Von dort können die Wordpress-Entwickler Änderungen am Code über einen Github Webhook auf den Server pushen. Bei Webhook handelt es sich um ein PHP-Skript, das die eigentliche Sicherheitslücke enthält, die die Ausführung von Code aus der Ferne ermöglicht.

Github sendet ein Paket mit JSON-Daten an den Webhook, außerdem wird der Nachricht ein "geteiltes Geheimnis" hinzugefügt, daraus wird dann per SHA-1 ein Hashwert errechnet. Api.wordpress.com nimmt dann die Daten entgegen, vergleicht die Hashwerte und spielt die Updates ein, wenn die Werte übereinstimmen.

Wordpress hatte die Funktion jedoch so implementiert, dass vom Sender auch ein anderer Hashing-Algorithmus genutzt werden kann. Die Sicherheitsforscher nutzten einen kryptographisch unsicheren Hashing-Algorithmus, der eigentlich nur zur Berechnung von Checksummen genutzt wird, um Anfragen zu stellen. Auf diese Weise gelang es ihnen, per Brute-Force-Angriff an das "geteilte Geheimnis" zu kommen. Um einen solchen Angriff erfolgreich durchzuführen, müssten etwa 100.000 bis 400.000 Anfragen mit zufälligen Schlüsseln gesendet werden.

Wordpress hat die Sicherheitslücke bereits Anfang September, wenige Tage nach der Meldung durch Wordfence, geschlossen. Eine Überprüfung der ausgelieferten Updates findet aber nach wie vor nicht statt.



Anzeige
Top-Angebote
  1. (u. a. Lenovo Legion Y530-15ICH für 699€ + Versand - Bestpreis!)
  2. ab 99,00€
  3. (u. a. GTA 5 für 12,99€, Landwirtschafts-Simulator 19 für 27,99€, Battlefield V für 32,99€)

My1 24. Nov 2016

naja wenn man auf biegen und brechen support mit uralten und unsicheren versionen setzt...

nachgefragt 24. Nov 2016

das eine hat mit dem anderen nichts zu tun. wenn man mit bedacht eine nicht mehr...

My1 24. Nov 2016

dem stimme ich zu. man muss nicht alles auf zwang mit nicht mehr supporteten versionen...

burzum 24. Nov 2016

Ein Blick auf den Code zeigt recht fix das dies keine Alternative, sondern der gleiche...

vbot 23. Nov 2016

Fahrradkette. :) - Feierabend.


Folgen Sie uns
       


Katamaran Energy Observer angesehen

Die Energy Observer ist ein Schiff, das ausschließlich mit erneuerbaren Energien betrieben wird und seinen Treibstoff zum Teil selbst produziert. Wir haben es in Hamburg besucht.

Katamaran Energy Observer angesehen Video aufrufen
Sicherheitslücken: Zombieload in Intel-Prozessoren
Sicherheitslücken
Zombieload in Intel-Prozessoren

Forscher haben weitere Seitenkanalangriffe auf Intel-Prozessoren entdeckt, die sie Microarchitectural Data Sampling alias Zombieload nennen. Der Hersteller wusste davon und reagiert mit CPU-Revisionen. Apple rät dazu, Hyperthreading abzuschalten - was 40 Prozent Performance kosten kann.
Ein Bericht von Marc Sauter und Sebastian Grüner

  1. Open-Source Technology Summit Intel will moderne Firmware und Rust-VMM für Server
  2. Ice Lake plus Xe-GPGPU Intel erläutert 10-nm- und 7-nm-Zukunft
  3. GPU-Architektur Intels Xe beschleunigt Raytracing in Hardware

LTE-V2X vs. WLAN 802.11p: Wer hat Recht im Streit ums Auto-WLAN?
LTE-V2X vs. WLAN 802.11p
Wer hat Recht im Streit ums Auto-WLAN?

Trotz langjähriger Verhandlungen haben die EU-Mitgliedstaaten die Pläne für ein vernetztes Fahren auf EU-Ebene vorläufig gestoppt. Golem.de hat nachgefragt, ob LTE-V2X bei direkter Kommunikation wirklich besser und billiger als WLAN sei.
Eine Analyse von Friedhelm Greis

  1. Vernetztes Fahren Lobbyschlacht um WLAN und 5G in Europa
  2. Gefahrenwarnungen EU setzt bei vernetztem Fahren weiter auf WLAN

Lightyear One: Luxus-Elektroauto fährt auch mit Solarstrom
Lightyear One
Luxus-Elektroauto fährt auch mit Solarstrom

Ein niederländisches Jungunternehmen hat ein ungewöhnliches Fahrzeug entwickelt, das Luxus und Umweltfreundlichkeit kombiniert. Solarzellen auf dem Dach erhöhen die Reichweite um bis zu 220 Kilometer.
Von Wolfgang Kempkens

  1. Elektromobilität EnBW will weitere 2.000 Schnellladepunkte errichten
  2. Elektromobilität Verkehrsminister will Elektroautos länger und mehr fördern
  3. Elektroautos e.GO Mobile liefert erste Fahrzeuge aus

    •  /