Abo
  • Services:
Anzeige
Überlange Wordpress-Kommentare ermöglichen Cross-Site-Scripting-Angriffe.
Überlange Wordpress-Kommentare ermöglichen Cross-Site-Scripting-Angriffe. (Bild: Screenshot)

Cross-Site-Scripting: Offene Sicherheitslücke in Wordpress

Überlange Wordpress-Kommentare ermöglichen Cross-Site-Scripting-Angriffe.
Überlange Wordpress-Kommentare ermöglichen Cross-Site-Scripting-Angriffe. (Bild: Screenshot)

Eine Cross-Site-Scripting-Sicherheitslücke gefährdet Nutzer von Wordpress-Blogs. Einen Fix gibt es noch nicht. Laut dem Entdecker der Lücke wurden seine Warnungen von Wordpress ignoriert.

Anzeige

Der finnische IT-Sicherheitsspezialist Jouko Pynnönen hat am 26. April auf der Mailingliste Full Disclosure Details zu einer Cross-Site-Scripting-Lücke in der Blogsoftware Wordpress veröffentlicht. Mittels eines Kommentars kann ein Nutzer Javascript-Code auf der Seite unterbringen und damit beispielsweise den Zugang eines Administrators übernehmen.

MySQL-Größenbeschränkung ermöglicht Angriff

Der Angriff nutzt die Tatsache aus, dass MySQL die Kommentare in einem Feld vom Typ "TEXT" abspeichert. Diese Felder haben eine Größenbeschränkung von 64 Kilobyte. Sendet man einen größeren Kommentar ab, wird dieser zwar von Wordpress entsprechend gefiltert, anschließend wird der Kommentar aber beim Einfügen in die Datenbank abgeschnitten. Dadurch gelingt es, gültigen Javascript-Code an der Filterung vorbei einzufügen.

Besonders dramatisch an dieser Sicherheitslücke ist, dass es im Moment keine Abhilfe gibt. Die aktuelle Version 4.2 von Wordpress ist betroffen. Laut Pynnönen konnte er die Lücke auch in verschiedenen älteren Wordpress-Versionen (3.9.3, 4.1.1, 4.1.2) reproduzieren. Jouko Pynnönen schreibt auf Twitter, dass er seit November versucht hatte, die Wordpress-Entwickler auf dieses Problem hinzuweisen. Weder Wordpress noch das finnische Cert hätten auf seine Warnungen reagiert.

Üblicherweise werden auffällig große Kommentare von Wordpress zunächst moderiert und nicht gleich freigeschaltet. Allerdings können Nutzer, deren Kommentare einmal von Wordpress akzeptiert wurden, künftig weitere derartige Kommentare ohne Moderation posten. Um einen Angriff praktisch durchzuführen, könnte ein Nutzer also einmal einen legitimen Kommentar posten und anschließend den Angriff durchführen. Aktuell können Wordpress-Nutzer sich nur schützen, indem sie unmoderierte Kommentare komplett verbieten, bis ein Fix von Wordpress verfügbar ist.

Cross-Site-Scripting-Angriffe bei Wordpress treten häufig auf

Zuletzt gab es eine ganze Reihe von Angriffen auf Wordpress-Blogs mittels Cross-Site-Scripting. Jouko Pynnönen verweist auf Forenbeiträge, die davon berichten, dass eine andere inzwischen behobene Cross-Site-Scripting-Lücke, die er im November 2014 veröffentlicht hatte, aktiv ausgenutzt wird.

Ein Blogeintrag der Firma Cloudflare berichtete kürzlich, dass in Phishing-Mails versucht wurde, mittels gehackter Wordpress-Blogs Cloudflare-Accounts zu übernehmen. Zum Zeitpunkt des Blogbeitrags war Wordpress 4.1.1 aktuell, einige der betroffenen Wordpress-Blogs nutzten diese Version. Die Cloudflare-Mitarbeiter vermuteten, dass hier eine zum damaligen Zeitpunkt unbekannte Cross-Site-Scripting-Lücke ausgenutzt wurde. In Wordpress 4.1.2 wurde eine Cross-Site-Scripting-Lücke behoben. Ob es sich um dieselbe Lücke handelt, ist nicht bekannt.

Auch Plugins anfällig

Auch Wordpress-Plugins sind häufig ein Grund für Sicherheitslücken. Vor wenigen Tagen wurde bekannt, dass zahlreiche populäre Wordpress-Plugins eine Funktion der Wordpress-API falsch genutzt hatten und dadurch ebenfalls Cross-Site-Scripting-Angriffe möglich wurden.

Nachtrag vom 27. April 2015, 16:56 Uhr

Da nach wie vor kein offizieller Fix von Wordpress bereitsteht, haben wir einen kleinen Patch geschrieben, der die XSS-Lücke schließt. Wordpress-Nutzer können diesen vorübergehend nutzen, bis ein offizielles Update bereitsteht.

Nachtrag vom 27. April 2015, 23:01 Uhr

Inzwischen gibt es von Wordpress ein offizielles Update. Die Version 4.2.1 schließt die Sicherheitslücke, auch für ältere Versionszweige wurden neue Versionen veröffentlicht. Dank der Auto-Update-Funktion von Wordpress erhalten die meisten Nutzer das Update automatisch.


eye home zur Startseite
TheUnichi 04. Mai 2015

Hat nie jemand behauptet.

Ninos 28. Apr 2015

http://codex.wordpress.org/Validating_Sanitizing_and_Escaping_User_Data#Escaping...

zZz 27. Apr 2015

Für die Software Dokumentation hosten wir statische Seiten auf GitHub. Die Original-Doku...



Anzeige

Stellenmarkt
  1. SSI Schäfer Noell GmbH, Giebelstadt, Obertshausen
  2. TAMPOPRINT® AG, Korntal-Münchingen
  3. Bite AG, Filderstadt
  4. DRÄXLMAIER Group, Garching


Anzeige
Hardware-Angebote
  1. 274,90€ + 3,99€ Versand (Vergleichspreis Karte 294€ und Pad 40€)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. Arrow Launcher 3.0

    Microsofts Android-Launcher braucht weniger Energie und RAM

  2. Die Woche im Video

    Angeswitcht, angegriffen, abgeturnt

  3. Hardlight VR Suit

    Vibrations-Weste soll VR-Erlebnis realistischer machen

  4. Autonomes Fahren

    Der Truck lernt beim Fahren

  5. Selektorenaffäre

    BND soll ausländische Journalisten ausspioniert haben

  6. Kursanstieg

    Bitcoin auf neuem Rekordhoch

  7. Google-Steuer

    Widerstand gegen Leistungsschutzrecht auf EU-Ebene

  8. Linux-Kernel

    Torvalds droht mit Nicht-Aufnahme von Treibercode

  9. Airbus A320

    In Flugzeugen wird der Platz selbst für kleine Laptops knapp

  10. Urheberrecht

    Marketplace-Händler wegen Bildern von Amazon bestraft



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Hyperloop-Challenge: Der Kompressor macht den Unterschied
Hyperloop-Challenge
Der Kompressor macht den Unterschied
  1. Arrivo Die neuen alten Hyperlooper
  2. SpaceX Die Bayern hyperloopen am schnellsten und weitesten
  3. Hyperloop HTT baut ein Forschungszentrum in Toulouse

Merkels NSA-Vernehmung: Die unerträgliche Uninformiertheit der Kanzlerin
Merkels NSA-Vernehmung
Die unerträgliche Uninformiertheit der Kanzlerin
  1. Apple Planet der affigen Fernsehshows
  2. München Wie Limux unter Ausschluss der Öffentlichkeit zerstört wird
  3. Glasfaser Nun hängt die Kabel doch endlich auf!

Der große Ultra-HD-Blu-ray-Test (Teil 2): 4K-Hardware ist nichts für Anfänger
Der große Ultra-HD-Blu-ray-Test (Teil 2)
4K-Hardware ist nichts für Anfänger
  1. Der große Ultra-HD-Blu-ray-Test (Teil 1) 4K-Filme verzeihen keine Fehler
  2. Deutsche Verkaufszahlen Unberechtigter Jubel über die UHD-Blu-ray
  3. 4K Blu-ray Sonys erster UHD-Player kommt im Frühjahr 2017

  1. Re: Sicher nicht

    Milber | 14:34

  2. Re: warum ist eure hauptseite nicht erreichbar?

    Midian | 14:32

  3. Re: Hätte Windows Phone so ausgesehen, wäre es...

    Hartz4 Rockt | 14:31

  4. Re: Etwas bizarres Urteil--

    scrumdideldu | 14:29

  5. Re: Nungut, Laut dem Urteil muss der Händler nun...

    scrumdideldu | 14:25


  1. 11:57

  2. 09:02

  3. 18:02

  4. 17:43

  5. 16:49

  6. 16:21

  7. 16:02

  8. 15:00


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel