Abo
  • IT-Karriere:

Cross-Site-Scripting: Offene Sicherheitslücke in Wordpress

Eine Cross-Site-Scripting-Sicherheitslücke gefährdet Nutzer von Wordpress-Blogs. Einen Fix gibt es noch nicht. Laut dem Entdecker der Lücke wurden seine Warnungen von Wordpress ignoriert.

Artikel veröffentlicht am , Hanno Böck
Überlange Wordpress-Kommentare ermöglichen Cross-Site-Scripting-Angriffe.
Überlange Wordpress-Kommentare ermöglichen Cross-Site-Scripting-Angriffe. (Bild: Screenshot)

Der finnische IT-Sicherheitsspezialist Jouko Pynnönen hat am 26. April auf der Mailingliste Full Disclosure Details zu einer Cross-Site-Scripting-Lücke in der Blogsoftware Wordpress veröffentlicht. Mittels eines Kommentars kann ein Nutzer Javascript-Code auf der Seite unterbringen und damit beispielsweise den Zugang eines Administrators übernehmen.

MySQL-Größenbeschränkung ermöglicht Angriff

Stellenmarkt
  1. DLR Deutsches Zentrum für Luft- und Raumfahrt e.V., Berlin
  2. BG-Phoenics GmbH, München

Der Angriff nutzt die Tatsache aus, dass MySQL die Kommentare in einem Feld vom Typ "TEXT" abspeichert. Diese Felder haben eine Größenbeschränkung von 64 Kilobyte. Sendet man einen größeren Kommentar ab, wird dieser zwar von Wordpress entsprechend gefiltert, anschließend wird der Kommentar aber beim Einfügen in die Datenbank abgeschnitten. Dadurch gelingt es, gültigen Javascript-Code an der Filterung vorbei einzufügen.

Besonders dramatisch an dieser Sicherheitslücke ist, dass es im Moment keine Abhilfe gibt. Die aktuelle Version 4.2 von Wordpress ist betroffen. Laut Pynnönen konnte er die Lücke auch in verschiedenen älteren Wordpress-Versionen (3.9.3, 4.1.1, 4.1.2) reproduzieren. Jouko Pynnönen schreibt auf Twitter, dass er seit November versucht hatte, die Wordpress-Entwickler auf dieses Problem hinzuweisen. Weder Wordpress noch das finnische Cert hätten auf seine Warnungen reagiert.

Üblicherweise werden auffällig große Kommentare von Wordpress zunächst moderiert und nicht gleich freigeschaltet. Allerdings können Nutzer, deren Kommentare einmal von Wordpress akzeptiert wurden, künftig weitere derartige Kommentare ohne Moderation posten. Um einen Angriff praktisch durchzuführen, könnte ein Nutzer also einmal einen legitimen Kommentar posten und anschließend den Angriff durchführen. Aktuell können Wordpress-Nutzer sich nur schützen, indem sie unmoderierte Kommentare komplett verbieten, bis ein Fix von Wordpress verfügbar ist.

Cross-Site-Scripting-Angriffe bei Wordpress treten häufig auf

Zuletzt gab es eine ganze Reihe von Angriffen auf Wordpress-Blogs mittels Cross-Site-Scripting. Jouko Pynnönen verweist auf Forenbeiträge, die davon berichten, dass eine andere inzwischen behobene Cross-Site-Scripting-Lücke, die er im November 2014 veröffentlicht hatte, aktiv ausgenutzt wird.

Ein Blogeintrag der Firma Cloudflare berichtete kürzlich, dass in Phishing-Mails versucht wurde, mittels gehackter Wordpress-Blogs Cloudflare-Accounts zu übernehmen. Zum Zeitpunkt des Blogbeitrags war Wordpress 4.1.1 aktuell, einige der betroffenen Wordpress-Blogs nutzten diese Version. Die Cloudflare-Mitarbeiter vermuteten, dass hier eine zum damaligen Zeitpunkt unbekannte Cross-Site-Scripting-Lücke ausgenutzt wurde. In Wordpress 4.1.2 wurde eine Cross-Site-Scripting-Lücke behoben. Ob es sich um dieselbe Lücke handelt, ist nicht bekannt.

Auch Plugins anfällig

Auch Wordpress-Plugins sind häufig ein Grund für Sicherheitslücken. Vor wenigen Tagen wurde bekannt, dass zahlreiche populäre Wordpress-Plugins eine Funktion der Wordpress-API falsch genutzt hatten und dadurch ebenfalls Cross-Site-Scripting-Angriffe möglich wurden.

Nachtrag vom 27. April 2015, 16:56 Uhr

Da nach wie vor kein offizieller Fix von Wordpress bereitsteht, haben wir einen kleinen Patch geschrieben, der die XSS-Lücke schließt. Wordpress-Nutzer können diesen vorübergehend nutzen, bis ein offizielles Update bereitsteht.

Nachtrag vom 27. April 2015, 23:01 Uhr

Inzwischen gibt es von Wordpress ein offizielles Update. Die Version 4.2.1 schließt die Sicherheitslücke, auch für ältere Versionszweige wurden neue Versionen veröffentlicht. Dank der Auto-Update-Funktion von Wordpress erhalten die meisten Nutzer das Update automatisch.



Anzeige
Hardware-Angebote
  1. 249€ + Versand
  2. 58,99€

TheUnichi 04. Mai 2015

Hat nie jemand behauptet.

Ninos 28. Apr 2015

http://codex.wordpress.org/Validating_Sanitizing_and_Escaping_User_Data#Escaping...

zZz 27. Apr 2015

Für die Software Dokumentation hosten wir statische Seiten auf GitHub. Die Original-Doku...


Folgen Sie uns
       


Microsoft Hololens 2 - Hands on (MWC 2019)

Die Hololens 2 ist Microsofts zweites AR-Headset. Im ersten Kurztest von Golem.de überzeugt das Gerät vor allem durch das merklich größere Sichtfeld.

Microsoft Hololens 2 - Hands on (MWC 2019) Video aufrufen
Adblock Plus: Adblock-Filterregeln können Code ausführen
Adblock Plus
Adblock-Filterregeln können Code ausführen

Unter bestimmten Voraussetzungen können Filterregeln für Adblocker mit einer neuen Funktion Javascript-Code in Webseiten einfügen. Adblock Plus will reagieren und die entsprechende Funktion wieder entfernen. Ublock Origin ist nicht betroffen.
Von Hanno Böck

  1. Urheberrecht Axel-Springer-Verlag klagt erneut gegen Adblocker
  2. Whitelisting erlaubt Kartellamt hält Adblocker-Nutzung für "nachvollziehbar"
  3. Firefox Klar Mozilla testet offenbar Adblocker

Urheberrechtsreform: Was das Internet nicht vergessen sollte
Urheberrechtsreform
Was das Internet nicht vergessen sollte

Die Reform des europäischen Urheberrechts ist eine Niederlage für viele Netzaktivisten. Zwar sind die Folgen der Richtlinie derzeit kaum absehbar. Doch es sollten die richtigen Lehren aus der jahrelangen Debatte mit den Internetgegnern gezogen werden.
Eine Analyse von Friedhelm Greis

  1. Leistungsschutzrecht VG Media will Milliarden von Google
  2. Urheberrecht Uploadfilter und Leistungsschutzrecht endgültig beschlossen
  3. Urheberrecht Merkel bekräftigt Zustimmung zu Uploadfiltern

Online-Banking: In 150 Tagen verlieren die TAN-Zettel ihre Gültigkeit
Online-Banking
In 150 Tagen verlieren die TAN-Zettel ihre Gültigkeit

Zum 14. September 2019 wird ein wichtiger Teil der Zahlungsdiensterichtlinie 2 für die meisten Girokonto-Kunden mit Online-Zugang umgesetzt. Die meist als indizierte TAN-Liste ausgegebenen Transaktionsnummern können dann nicht mehr genutzt werden.
Von Andreas Sebayang

  1. Banking-App Comdirect empfiehlt, Sicherheitswarnung zu ignorieren

    •  /