Abo
  • Services:
Anzeige
Überlange Wordpress-Kommentare ermöglichen Cross-Site-Scripting-Angriffe.
Überlange Wordpress-Kommentare ermöglichen Cross-Site-Scripting-Angriffe. (Bild: Screenshot)

Cross-Site-Scripting: Offene Sicherheitslücke in Wordpress

Überlange Wordpress-Kommentare ermöglichen Cross-Site-Scripting-Angriffe.
Überlange Wordpress-Kommentare ermöglichen Cross-Site-Scripting-Angriffe. (Bild: Screenshot)

Eine Cross-Site-Scripting-Sicherheitslücke gefährdet Nutzer von Wordpress-Blogs. Einen Fix gibt es noch nicht. Laut dem Entdecker der Lücke wurden seine Warnungen von Wordpress ignoriert.

Anzeige

Der finnische IT-Sicherheitsspezialist Jouko Pynnönen hat am 26. April auf der Mailingliste Full Disclosure Details zu einer Cross-Site-Scripting-Lücke in der Blogsoftware Wordpress veröffentlicht. Mittels eines Kommentars kann ein Nutzer Javascript-Code auf der Seite unterbringen und damit beispielsweise den Zugang eines Administrators übernehmen.

MySQL-Größenbeschränkung ermöglicht Angriff

Der Angriff nutzt die Tatsache aus, dass MySQL die Kommentare in einem Feld vom Typ "TEXT" abspeichert. Diese Felder haben eine Größenbeschränkung von 64 Kilobyte. Sendet man einen größeren Kommentar ab, wird dieser zwar von Wordpress entsprechend gefiltert, anschließend wird der Kommentar aber beim Einfügen in die Datenbank abgeschnitten. Dadurch gelingt es, gültigen Javascript-Code an der Filterung vorbei einzufügen.

Besonders dramatisch an dieser Sicherheitslücke ist, dass es im Moment keine Abhilfe gibt. Die aktuelle Version 4.2 von Wordpress ist betroffen. Laut Pynnönen konnte er die Lücke auch in verschiedenen älteren Wordpress-Versionen (3.9.3, 4.1.1, 4.1.2) reproduzieren. Jouko Pynnönen schreibt auf Twitter, dass er seit November versucht hatte, die Wordpress-Entwickler auf dieses Problem hinzuweisen. Weder Wordpress noch das finnische Cert hätten auf seine Warnungen reagiert.

Üblicherweise werden auffällig große Kommentare von Wordpress zunächst moderiert und nicht gleich freigeschaltet. Allerdings können Nutzer, deren Kommentare einmal von Wordpress akzeptiert wurden, künftig weitere derartige Kommentare ohne Moderation posten. Um einen Angriff praktisch durchzuführen, könnte ein Nutzer also einmal einen legitimen Kommentar posten und anschließend den Angriff durchführen. Aktuell können Wordpress-Nutzer sich nur schützen, indem sie unmoderierte Kommentare komplett verbieten, bis ein Fix von Wordpress verfügbar ist.

Cross-Site-Scripting-Angriffe bei Wordpress treten häufig auf

Zuletzt gab es eine ganze Reihe von Angriffen auf Wordpress-Blogs mittels Cross-Site-Scripting. Jouko Pynnönen verweist auf Forenbeiträge, die davon berichten, dass eine andere inzwischen behobene Cross-Site-Scripting-Lücke, die er im November 2014 veröffentlicht hatte, aktiv ausgenutzt wird.

Ein Blogeintrag der Firma Cloudflare berichtete kürzlich, dass in Phishing-Mails versucht wurde, mittels gehackter Wordpress-Blogs Cloudflare-Accounts zu übernehmen. Zum Zeitpunkt des Blogbeitrags war Wordpress 4.1.1 aktuell, einige der betroffenen Wordpress-Blogs nutzten diese Version. Die Cloudflare-Mitarbeiter vermuteten, dass hier eine zum damaligen Zeitpunkt unbekannte Cross-Site-Scripting-Lücke ausgenutzt wurde. In Wordpress 4.1.2 wurde eine Cross-Site-Scripting-Lücke behoben. Ob es sich um dieselbe Lücke handelt, ist nicht bekannt.

Auch Plugins anfällig

Auch Wordpress-Plugins sind häufig ein Grund für Sicherheitslücken. Vor wenigen Tagen wurde bekannt, dass zahlreiche populäre Wordpress-Plugins eine Funktion der Wordpress-API falsch genutzt hatten und dadurch ebenfalls Cross-Site-Scripting-Angriffe möglich wurden.

Nachtrag vom 27. April 2015, 16:56 Uhr

Da nach wie vor kein offizieller Fix von Wordpress bereitsteht, haben wir einen kleinen Patch geschrieben, der die XSS-Lücke schließt. Wordpress-Nutzer können diesen vorübergehend nutzen, bis ein offizielles Update bereitsteht.

Nachtrag vom 27. April 2015, 23:01 Uhr

Inzwischen gibt es von Wordpress ein offizielles Update. Die Version 4.2.1 schließt die Sicherheitslücke, auch für ältere Versionszweige wurden neue Versionen veröffentlicht. Dank der Auto-Update-Funktion von Wordpress erhalten die meisten Nutzer das Update automatisch.


eye home zur Startseite
TheUnichi 04. Mai 2015

Hat nie jemand behauptet.

Ninos 28. Apr 2015

http://codex.wordpress.org/Validating_Sanitizing_and_Escaping_User_Data#Escaping...

zZz 27. Apr 2015

Für die Software Dokumentation hosten wir statische Seiten auf GitHub. Die Original-Doku...



Anzeige

Stellenmarkt
  1. LR Health & Beauty Systems GmbH, Ahlen
  2. Horváth & Partners Management Consultants, Berlin, Düsseldorf, Frankfurt, Hamburg, München, Stuttgart
  3. mobileX AG, München
  4. Westermann Gruppe, Braunschweig


Anzeige
Top-Angebote
  1. 159€ + 3,99€ Versand (Vergleichspreis 182€)
  2. 29,99€ + 5,99€ Versand (Vergleichspreis 48€)
  3. 294,78€ (zur Zeit günstigste RX 580 mit 8 GB)

Folgen Sie uns
       


  1. Adobe

    Die Flash-Ära endet 2020

  2. Falscher Schulz-Tweet

    Junge Union macht Wahlkampf mit Fake-News

  3. BiCS3 X4

    WDs Flash-Speicher fasst 96 GByte pro Chip

  4. ARM Trustzone

    Google bescheinigt Android Vertrauensprobleme

  5. Überbauen

    Telekom setzt Vectoring gegen Glasfaser der Kommunen ein

  6. Armatix

    Smart Gun lässt sich mit Magneten hacken

  7. SR5012 und SR6012

    Marantz stellt zwei neue vernetzte AV-Receiver vor

  8. Datenrate

    Vodafone weitet 500 MBit/s im Kabelnetz aus

  9. IT-Outsourcing

    Schweden kaufte Clouddienste ohne Sicherheitsprüfung

  10. Quantengatter

    Die Bauteile des Quantencomputers



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Kryptowährungen: Bitcoin steht vor grundlegenden Änderungen
Kryptowährungen
Bitcoin steht vor grundlegenden Änderungen
  1. Linux-Distributionen Mehr als 90 Prozent der Debian-Pakete reproduzierbar
  2. Die Woche im Video Strittige Standards, entzweite Bitcoins, eine Riesenkonsole
  3. Kryptowährung Bitcoin notiert auf neuem Rekordhoch

IETF Webpackage: Wie das Offline-Internet auf SD-Karte kommen könnte
IETF Webpackage
Wie das Offline-Internet auf SD-Karte kommen könnte
  1. IETF Netzwerker wollen Quic-Pakete tracken
  2. IETF DNS wird sicher, aber erst später
  3. IETF Wie TLS abgehört werden könnte

Gaming-Monitor Viewsonic XG 2530 im Test: 240 Hertz, an die man sich gewöhnen kann
Gaming-Monitor Viewsonic XG 2530 im Test
240 Hertz, an die man sich gewöhnen kann
  1. LG 43UD79-B LG bringt Monitor mit 42,5-Zoll-Panel für vier Signalquellen
  2. SW271 Benq bringt HDR-Display mit 10-Bit-Panel
  3. Gaming-Bildschirme Freesync-Displays von Iiyama und Viewsonic

  1. Panikmache

    Youssarian | 02:44

  2. Re: Ohne Worte

    Proctrap | 02:29

  3. Re: Ich hoffe noch immer auf den Durchbruch von...

    Proctrap | 02:19

  4. Re: Das aufgebauschte Problem...

    Dino13 | 01:49

  5. Re: Eintritt

    Topf | 01:38


  1. 21:02

  2. 18:42

  3. 15:46

  4. 15:02

  5. 14:09

  6. 13:37

  7. 13:26

  8. 12:26


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel