zurück zur Übersicht

Sicherheitslücke in WordPress: Schweigen ist [kein] Gold

Am 26.01.2017 wurde ein Sicherheits-Release von WordPress veröffentlicht. Dabei verschweigt der CMS Hersteller in seiner ersten Bekanntgabe eine kritische Sicherheitslücke. Die anderen drei Sicherheitslücken, bei denen es sich um ein für nicht berechtigte Nutzer aufrufbares Taxonomie-Interface, eine Schwachstelle in einer WP_Query, die Angreifern SQL-Injections ermöglicht und um eine XSS-Schwachstelle handelt, werden dagegen auf deren Webseite benannt. Aufgrund der Vorenthaltung der kritischen Sicherheitslücke hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Kritikalität des Updates nur als mittel eingestuft.

Mangelnde Information über kritische Schwachstelle bremst Update-Verbreitung

Die WordPress Versionen 4.7.0 und 4.7.1 sind von der kritischen Sicherheitsschwachstelle in der REST API betroffen. Da WordPress eine automatische Update Funktion hat, waren die meisten Anwender bereits geschützt, für die anderen Anwender, hatte der Hersteller keine Angaben über die kritische Sicherheitsschwachstelle veröffentlicht, damit diese „in Ruhe“ das Update einspielen konnten. Allerdings sind schon die ersten von der Schwachstelle betroffenen Anwender bekannt, da diese, durch die Einschätzungen des Herstellers hinsichtlich der Bekanntgabe, das Update nicht direkt und unverzüglich eingespielt hatten.

Die WordPress Entwickler entschieden sich dazu, die Lücke über ein Sicherheitsupdate zu schließen, aber die Details um die Sicherheitslücke erst einmal zu verharmlosen, „damit Anwender Zeit haben, ihre Installationen zu aktualisieren“. Für Anwender, die die automatische Update-Funktion aktiviert haben, ist dies kein Problem. Für andere Anwender hat die verharmlosende Veröffentlichung des Herstellers den Anschein erweckt, dass das Update nicht unbedingt sofort durchgeführt werden muss.

Die kritische Sicherheitsschwachstelle wurde erst später als vierte Sicherheitsschwachstelle in der Bekanntgabe des Herstellers eingefügt. Die Sicherheitsschwachstelle ermöglicht  es einem Angreifer aus der Ferne, Schadcode in eine beliebige Seite des CMS einzufügen und damit zu verteilen oder den Inhalt der Seite zu modifizieren oder zu löschen.

WordPress entält eine gravierende Sicherheitslücke, die im Update gefixt wurde. Warum das Verschweigen?
Abb. 1

 

Die Schwachstelle im Detail

Der Kern der Sicherheitsschwachstelle befindet sich in einer REST API, die bereits seit der Version 4.7 standardmäßig in WordPress aktiviert ist. Ursache ist die Validierung von Eingaben, die nicht richtig implementiert wurde. Für einen potenziellen Angreifer ist es möglich eine ungültige Eingabe zu übergeben, die im nächsten Schritt bei einer Umwandlung in einen Integer-Wert wieder nutzbar wird. So kann der Angreifer aus einer erst ungültigen Artikel-ID wieder eine gültige Artikel-ID herstellen. Der vorherige Check auf eine gültige Zugriffsberechtigung auf diese Artikel-ID wird über die ungültige Eingabe umgangen, da angenommen wird, dass eine Zugriffsberechtigung vorliegt, wenn es keinen passenden Artikel gibt. Da sich die API selbst über den Administrationsbereich von WordPress nicht abschalten lässt, sind die Anwender hier auf Sicherheitsupdates von WordPress  dringend angewiesen.

Schlussendlich kann man sich als Anwender nicht auf die Veröffentlichungen der Entwickler und die darauf folgenden Einschätzungen des Schweregrades von Updates vollständig verlassen. Es bleibt die Möglichkeit, Auto-Update Funktionen zu aktiveren, um so immer direkt neue Updates einzuspielen. Allerdings gibt es durchaus Gründe, warum Anwender, diese Funktion nicht nutzen. Zum Beispiel wenn die Konfiguration ihres Web Hosters nicht kompatibel ist. Wer sich unabhängig von Hersteller-Updates vor Sicherheitsschwachstellen in der REST API schützen möchte, kann auch über ein Plug-In eine Fehlermeldung versenden lassen, sobald jemand auf die REST API zugreifen möchte.

Wer das Update bisher noch nicht gemacht hat, sollte dies schleunigst nachholen. Hier geht es zum WordPress 4.7.2 Security Release.

 


 

Quellen:

Abb. 1:  https://www.heise.de/security/meldung/WordPress-4-7-2-Entwickler-verschweigen-kritische-Sicherheitsluecke-3616398.html

https://www.heise.de/security/meldung/WordPress-4-7-2-steigert-die-Sicherheit-3608884.html

https://www.heise.de/security/meldung/WordPress-4-7-2-Entwickler-verschweigen-kritische-Sicherheitsluecke-3616398.html

https://wordpress.org/news/2017/01/wordpress-4-7-2-security-release/

https://www.golem.de/news/sicherheitsluecke-wordpress-sicherheitsluecke-ermoeglicht-aenderung-von-inhalten-1702-125961.html

http://t3n.de/news/wordpress-sicherheitsluecke-rest-api-791667/

 

Schreibe einen Kommentar