Abo
  • Services:
Anzeige
Überlange Wordpress-Kommentare ermöglichen Cross-Site-Scripting-Angriffe.
Überlange Wordpress-Kommentare ermöglichen Cross-Site-Scripting-Angriffe. (Bild: Screenshot)

Cross-Site-Scripting: Offene Sicherheitslücke in Wordpress

Überlange Wordpress-Kommentare ermöglichen Cross-Site-Scripting-Angriffe.
Überlange Wordpress-Kommentare ermöglichen Cross-Site-Scripting-Angriffe. (Bild: Screenshot)

Eine Cross-Site-Scripting-Sicherheitslücke gefährdet Nutzer von Wordpress-Blogs. Einen Fix gibt es noch nicht. Laut dem Entdecker der Lücke wurden seine Warnungen von Wordpress ignoriert.

Anzeige

Der finnische IT-Sicherheitsspezialist Jouko Pynnönen hat am 26. April auf der Mailingliste Full Disclosure Details zu einer Cross-Site-Scripting-Lücke in der Blogsoftware Wordpress veröffentlicht. Mittels eines Kommentars kann ein Nutzer Javascript-Code auf der Seite unterbringen und damit beispielsweise den Zugang eines Administrators übernehmen.

MySQL-Größenbeschränkung ermöglicht Angriff

Der Angriff nutzt die Tatsache aus, dass MySQL die Kommentare in einem Feld vom Typ "TEXT" abspeichert. Diese Felder haben eine Größenbeschränkung von 64 Kilobyte. Sendet man einen größeren Kommentar ab, wird dieser zwar von Wordpress entsprechend gefiltert, anschließend wird der Kommentar aber beim Einfügen in die Datenbank abgeschnitten. Dadurch gelingt es, gültigen Javascript-Code an der Filterung vorbei einzufügen.

Besonders dramatisch an dieser Sicherheitslücke ist, dass es im Moment keine Abhilfe gibt. Die aktuelle Version 4.2 von Wordpress ist betroffen. Laut Pynnönen konnte er die Lücke auch in verschiedenen älteren Wordpress-Versionen (3.9.3, 4.1.1, 4.1.2) reproduzieren. Jouko Pynnönen schreibt auf Twitter, dass er seit November versucht hatte, die Wordpress-Entwickler auf dieses Problem hinzuweisen. Weder Wordpress noch das finnische Cert hätten auf seine Warnungen reagiert.

Üblicherweise werden auffällig große Kommentare von Wordpress zunächst moderiert und nicht gleich freigeschaltet. Allerdings können Nutzer, deren Kommentare einmal von Wordpress akzeptiert wurden, künftig weitere derartige Kommentare ohne Moderation posten. Um einen Angriff praktisch durchzuführen, könnte ein Nutzer also einmal einen legitimen Kommentar posten und anschließend den Angriff durchführen. Aktuell können Wordpress-Nutzer sich nur schützen, indem sie unmoderierte Kommentare komplett verbieten, bis ein Fix von Wordpress verfügbar ist.

Cross-Site-Scripting-Angriffe bei Wordpress treten häufig auf

Zuletzt gab es eine ganze Reihe von Angriffen auf Wordpress-Blogs mittels Cross-Site-Scripting. Jouko Pynnönen verweist auf Forenbeiträge, die davon berichten, dass eine andere inzwischen behobene Cross-Site-Scripting-Lücke, die er im November 2014 veröffentlicht hatte, aktiv ausgenutzt wird.

Ein Blogeintrag der Firma Cloudflare berichtete kürzlich, dass in Phishing-Mails versucht wurde, mittels gehackter Wordpress-Blogs Cloudflare-Accounts zu übernehmen. Zum Zeitpunkt des Blogbeitrags war Wordpress 4.1.1 aktuell, einige der betroffenen Wordpress-Blogs nutzten diese Version. Die Cloudflare-Mitarbeiter vermuteten, dass hier eine zum damaligen Zeitpunkt unbekannte Cross-Site-Scripting-Lücke ausgenutzt wurde. In Wordpress 4.1.2 wurde eine Cross-Site-Scripting-Lücke behoben. Ob es sich um dieselbe Lücke handelt, ist nicht bekannt.

Auch Plugins anfällig

Auch Wordpress-Plugins sind häufig ein Grund für Sicherheitslücken. Vor wenigen Tagen wurde bekannt, dass zahlreiche populäre Wordpress-Plugins eine Funktion der Wordpress-API falsch genutzt hatten und dadurch ebenfalls Cross-Site-Scripting-Angriffe möglich wurden.

Nachtrag vom 27. April 2015, 16:56 Uhr

Da nach wie vor kein offizieller Fix von Wordpress bereitsteht, haben wir einen kleinen Patch geschrieben, der die XSS-Lücke schließt. Wordpress-Nutzer können diesen vorübergehend nutzen, bis ein offizielles Update bereitsteht.

Nachtrag vom 27. April 2015, 23:01 Uhr

Inzwischen gibt es von Wordpress ein offizielles Update. Die Version 4.2.1 schließt die Sicherheitslücke, auch für ältere Versionszweige wurden neue Versionen veröffentlicht. Dank der Auto-Update-Funktion von Wordpress erhalten die meisten Nutzer das Update automatisch.


eye home zur Startseite
TheUnichi 04. Mai 2015

Hat nie jemand behauptet.

Ninos 28. Apr 2015

http://codex.wordpress.org/Validating_Sanitizing_and_Escaping_User_Data#Escaping...

zZz 27. Apr 2015

Für die Software Dokumentation hosten wir statische Seiten auf GitHub. Die Original-Doku...



Anzeige

Stellenmarkt
  1. ALDI SOUTH group, Mülheim an der Ruhr
  2. Robert Bosch GmbH, Abstatt
  3. BG-Phoenics GmbH, Hannover
  4. ALDI SÜD, Mülheim an der Ruhr


Anzeige
Top-Angebote
  1. (50% Rabatt!)
  2. 219,00€ (Bestpreis!)
  3. (u. a. Gear VR 66,00€, Gear S3 277,00€)

Folgen Sie uns
       


  1. Quantenalgorithmen

    "Morgen könnte ein Physiker die Quantenmechanik widerlegen"

  2. Astra

    ZDF bleibt bis zum Jahr 2020 per Satellit in SD verfügbar

  3. Kubic

    Opensuse startet Projekt für Container-Plattform

  4. Frühstart

    Kabelnetzbetreiber findet keine Modems für Docsis 3.1

  5. Displayweek 2017

    Die Display-Welt wird rund und durchsichtig

  6. Autonomes Fahren

    Neues Verfahren beschleunigt Tests für autonome Autos

  7. Künstliche Intelligenz

    Alpha Go geht in Rente

  8. Security

    Telekom-Chef vergleicht Cyberangriffe mit Landminen

  9. Anga

    Kabelnetzbetreiber wollen schnelle Analogabschaltung

  10. Asus

    Das Zenbook Flip S ist 10,9 mm flach



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Vernetzte Hörgeräte und Hearables: Ich filter mir die Welt widdewiddewie sie mir gefällt
Vernetzte Hörgeräte und Hearables
Ich filter mir die Welt widdewiddewie sie mir gefällt
  1. Polar Fitnesstracker A370 mit Tiefschlaf- und Pulsmessung
  2. The Dash Pro Bragis Drahtlos-Ohrstöpsel können jetzt auch übersetzen
  3. Beddit Apple kauft Schlaf-Tracker-Hersteller

Redmond Campus Building 87: Microsofts Area 51 für Hardware
Redmond Campus Building 87
Microsofts Area 51 für Hardware
  1. Windows on ARM Microsoft erklärt den kommenden x86-Emulator im Detail
  2. Azure Microsoft betreut MySQL und PostgreSQL in der Cloud
  3. Microsoft Azure bekommt eine beeindruckend beängstigende Video-API

3D-Druck bei der Bahn: Mal eben einen Kleiderhaken für 80 Euro drucken
3D-Druck bei der Bahn
Mal eben einen Kleiderhaken für 80 Euro drucken
  1. Bahnchef Richard Lutz Künftig "kein Ticket mehr für die Bahn" notwendig
  2. Flatrate Öffentliches Fahrradleihen kostet 50 Euro im Jahr
  3. Nextbike Berlins neues Fahrradverleihsystem startet

  1. Re: offenkundig strafbare Inhalte

    Der Held vom... | 15:38

  2. Re: Irgendwie unstimmig

    gadthrawn | 15:38

  3. Re: Gibt es noch Menschen die Analog schauen

    gadthrawn | 15:35

  4. Re: Künstliche Intelligenz

    Linkk | 15:31

  5. Re: Das Legen wird aber teurer sein. Auch das...

    oxybenzol | 15:30


  1. 14:21

  2. 13:56

  3. 12:54

  4. 12:41

  5. 11:58

  6. 11:25

  7. 10:51

  8. 10:50


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel