Abo
  • Services:
Anzeige
Dank automatischer Updates ist Wordpress eines der sichersten Content-Management-Systeme.
Dank automatischer Updates ist Wordpress eines der sichersten Content-Management-Systeme. (Bild: Wordpress)

Sicherheitslücke: Wordpress-Sicherheitslücke ermöglicht Änderung von Inhalten

Dank automatischer Updates ist Wordpress eines der sichersten Content-Management-Systeme.
Dank automatischer Updates ist Wordpress eines der sichersten Content-Management-Systeme. (Bild: Wordpress)

In Wordpress wurde eine Sicherheitslücke entdeckt, mit der ein Angreifer nach Belieben Inhalte ändern kann. Betroffen sind die Versionen 4.7.0 und 4.7.1. Dank der automatischen Update-Funktion von Wordpress sind die meisten Nutzer bereits geschützt.

Die Firma Sucuri hat im Blog-System Wordpress eine schwerwiegende Sicherheitslücke entdeckt. Ein Fehler bei der Filterung der Eingabedaten einer REST-API ermöglicht es, unauthentifiziert Artikel zu ändern. Wordpress hat das Update bereits vor einer Woche verteilt, die Details zur Lücke wurden aber bisher zurückgehalten.

Anzeige

Fehlerhafte Filterung in der REST-API

Die REST-API wurde in Wordpress 4.7.0 hinzugefügt. An die API wird ein Parameter mit einer ID übergeben, mit der man einen bestimmten Artikel auswählen kann. Diese ID kann entweder als Teil des Pfades oder als GET- oder POST-Variable übergeben werden. Der Pfad wird mittels eines regulären Ausdrucks ausgewertet und nur Zahlenwerte werden akzeptiert, als Variable kann man aber auch Buchstaben übergeben und somit ungültige Werte wie 1234hello.

Der Code von Wordpress prüft nun, ob der Nutzer für diese ID eine Zugriffsberechtigung hat, zeigt hier jedoch ein ungewöhnliches Verhalten: Existiert ein Artikel nicht, dann nimmt der Code an, dass der Nutzer die Berechtigung hat, diesen zu bearbeiten. Auch bei einer ungültigen ID wie 1234hello würde der Check nicht fehlschlagen. Das würde allein noch kein Problem darstellen.

Doch anschließend wird der ID-Parameter in einen Integer-Wert umgewandelt. Aus 1234hello würde damit 1234. Damit kann ein Angreifer die Filterung nun umgehen: Er gibt als Variable einen Parameter an, der eine gültige Artikel-ID mit einigen angehängten Buchstaben enthält. Dieser umgeht zunächst den Check und wird anschließend in eine Integer-Variable umgewandelt. Die Buchstaben werden entfernt und es bleibt eine gültige Artikel-ID.

Damit kann der Angreifer nun nach Belieben Inhalte von Wordpress-Blogs ändern. Je nach installierten Plugins könnte es auch zu einer noch schwerwiegenderen Lücke kommen: Manche Plugins verarbeiten die Inhalte von Posts in einer Weise, die anschließend eine Codeausführung ermöglicht.

Informationen wurden verzögert herausgegeben

Wordpress hat bereits vor einer Woche, am 26. Januar 2017, das Update 4.7.2 veröffentlicht. Neben dieser schwerwiegenden Lücke behebt es noch drei weitere, weniger kritische Sicherheitslücken. Doch die Informationen zur schwersten Lücke wurden zunächst zurückgehalten, um möglichst vielen Nutzern die Chance zum Update zu geben. Eine Vorgehensweise, die Vor- und Nachteile hat: Einigen Angreifern könnte es gelungen sein, anhand des Patches die Funktionsweise der Sicherheitslücke herauszufinden, Nutzer wiederum könnten das Update nicht sofort eingespielt haben, da es scheinbar nur unkritische Sicherheitslücken behebt. Andererseits dürften nun wohl viele Installationen bereits geschützt sein.

Wordpress hat bereits vor dem Update mit verschiedenen Herstellern von Web Application Firewalls und von Content-Delivery-Netzwerken wie Cloudflare Kontakt aufgenommen, so dass diese Filterregeln für diese Sicherheitslücke implementieren. Auch Sucuri selbst, die Firma, die die Lücke entdeckt hat, verkauft Web Application Firewalls und filtert entsprechende Angriffsversuche.

Auto-Updates schützen

Wordpress hat seit Version 3.7 eine automatische Update-Funktion, die in allen aktuellen Versionen standardmäßig aktiviert ist. Alle Nutzer, die dieses Auto-Update nutzen, sind somit bereits geschützt und müssen sich keine Sorgen machen. Einige Nutzer deaktivieren dieses Auto-Update jedoch. Diese sollten sich jetzt schleunigst um ein manuelles Update kümmern - und danach am besten das Auto-Update wieder aktivieren. Wer das Update nicht einspielt, wird vermutlich in Kürze Spam- und Malware-Links in seinen Blogposts finden.

Das Auto-Update von Wordpress dürfte dafür sorgen, dass die Lücke deutlich weniger Auswirkungen hat als vergleichbare Lücken in Konkurrenzprodukten. Bei schwerwiegenden Sicherheitslücken in Content-Management-Systemen dauert es oftmals nur wenige Stunden, bis Angreifer versuchen, diese massenhaft auszunutzen.


eye home zur Startseite
red-dot 13. Feb 2017

Aus aktuellem Grund haben wir einen Artikel verfasst, der sich damit beschäftigt die...

christoferw 10. Feb 2017

Wer es nicht selbst lösen will kann hier auch via Festpreis WordPress Reparieren lassen...

crazypsycho 04. Feb 2017

Mehrsprachigkeit ist wirklich nicht ganz optimal. Aber WPML ist zumindest brauchbar. Und...

crazypsycho 02. Feb 2017

Wenn du das Auto-Update nicht aktivierst, dann kommt da eher was. Schon etwas fahrlässig.



Anzeige

Stellenmarkt
  1. Regierungspräsidium Freiburg, Freiburg
  2. TUI Cruises GmbH, Hamburg
  3. OMICRON electronics GmbH, Klaus (Österreich)
  4. ALDI SOUTH group, Mülheim an der Ruhr


Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)
  2. täglich neue Deals
  3. (u. a. DXRacer OH/RE9/NW für 199,90€ statt 226€ im Preisvergleich)

Folgen Sie uns
       


  1. Komplett-PC

    In Nvidias Battleboxen steckt AMDs Ryzen

  2. Internet

    Cloudflare macht IPv6 parallel zu IPv4 jetzt Pflicht

  3. Square Enix

    Neustart für das Final Fantasy 7 Remake

  4. Agesa 1006

    Ryzen unterstützt DDR4-4000

  5. Telekom Austria

    Nokia erreicht 850 MBit/s im LTE-Netz

  6. Star Trek Bridge Crew im Test

    Festgetackert im Holodeck

  7. Quantenalgorithmen

    "Morgen könnte ein Physiker die Quantenmechanik widerlegen"

  8. Astra

    ZDF bleibt bis zum Jahr 2020 per Satellit in SD verfügbar

  9. Kubic

    Opensuse startet Projekt für Container-Plattform

  10. Frühstart

    Kabelnetzbetreiber findet keine Modems für Docsis 3.1



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Razer Core im Test: Grafikbox + Ultrabook = Gaming-System
Razer Core im Test
Grafikbox + Ultrabook = Gaming-System
  1. Gaming-Notebook Razer will das Blade per GTX 1070 aufrüsten
  2. Razer Lancehead Symmetrische 16.000-dpi-Maus läuft ohne Cloud-Zwang
  3. 17,3-Zoll-Notebook Razer aktualisiert das Blade Pro mit THX-Zertifizierung

Matebook X und E im Hands on: Huawei kann auch Notebooks
Matebook X und E im Hands on
Huawei kann auch Notebooks
  1. Matebook X Huawei stellt erstes Notebook vor
  2. Trotz eigener Geräte Huawei-Chef sieht keinen Sinn in Smartwatches
  3. Huawei Matebook Erste Infos zu kommenden Huawei-Notebooks aufgetaucht

Debatte nach Wanna Cry: Sicherheitslücken veröffentlichen oder zurückhacken?
Debatte nach Wanna Cry
Sicherheitslücken veröffentlichen oder zurückhacken?
  1. Android-Apps Rechtemissbrauch ermöglicht unsichtbare Tastaturmitschnitte
  2. Sicherheitslücke Fehlerhaft konfiguriertes Git-Verzeichnis bei Redcoon
  3. Hotelketten Buchungssystem Sabre kompromittiert Zahlungsdaten

  1. Re: Auch wenn

    Sharra | 03:34

  2. Re: Meine Erfahrung als Störungssucher in Luxemburg

    bombinho | 03:34

  3. Re: Infinity Fabric Takt?

    ms (Golem.de) | 03:16

  4. Re: Widerlegung wäre schlecht?

    Sharra | 02:58

  5. Double Rank Module?

    Braineh | 02:38


  1. 18:08

  2. 17:37

  3. 16:55

  4. 16:46

  5. 16:06

  6. 16:00

  7. 14:21

  8. 13:56


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel