Du hast deinen AdBlocker an?

Es wäre ein Traum, wenn du ihn für t3n.de deaktivierst. Wir zeigen dir gerne, wie das geht. Und natürlich erklären wir dir auch, warum uns das so wichtig ist. Digitales High-five, deine t3n-Redaktion

News

Wordpress-Update: Sicherheitslücke gefährdete 27 Prozent aller Websites

    Wordpress-Update: Sicherheitslücke gefährdete 27 Prozent aller Websites

(Foto: Shutterstock)

Sicherheitsforscher haben eine schwerwiegende Sicherheitslücke im Update-Mechanismus von Wordpress entdeckt. Damit hätten theoretisch unzählige Websites gekapert werden können.

Wordpress: Schwere Sicherheitslücke im Update-Mechanismus entdeckt

Eine schwerwiegende Sicherheitslücke im Update-Mechanismus von Wordpress hätte es Angreifern ermöglicht, Schadcode an Millionen von Websites zu verteilen. Entdeckt wurde die Sicherheitslücke von Sicherheitsforschern des Unternehmens Wordfence. Die haben Wordpress auf das Problem aufmerksam gemacht – und es wurde schnell reagiert: Innerhalb weniger Stunden wurde die Sicherheitslücke geschlossen und der Wordfence-Entwickler Matt Berry bekam eine Belohnung für die Aufdeckung der Sicherheitslücke.

Konkret ging es bei der Sicherheitslücke um ein Problem eines PHP-Webhooks, der eigentlich die Echtheit von Updates gewährleisten soll. Dazu generiert er aus einem Geheimnis und den eigentlichen Update-Daten einen Keyed-Hash Message Authentication Code oder kurz HMAC. Laut Wordfence konnte ein Angreifer jedoch auch einen Hash-Algorithmus wie crc32, fnv32 oder adler32 einsetzen, und so durch Ausprobieren von Prüfsummen einen gültigen HMAC vortäuschen.

Über den Update-Mechanismus von Wordpress konnte Schadcode ausgeliefert werden. (Grafik: Wordfence)
Über den Update-Mechanismus von Wordpress konnte Schadcode ausgeliefert werden. (Grafik: Wordfence)
Anzeige

Wordpress: Potenziell waren 27 Prozent aller Websites betroffen

Laut einem Blogbeitrag von Wordfence konnte ein so vorgetäuschter HMAC in wenigen Stunden erstellt werden, ohne dass der Wordpress-Server die Brute-Force-Methode irgendwie unterbrochen hätte. Das ist extrem problematisch, weil der automatische Update-Mechanismus standardmäßig bei allen Wordpress-Installationen aktiviert ist. Wordpress ist das am weitesten verbreitete Content-Management-System und wird laut W3Techs von mehr als 27 Prozent aller Websites eingesetzt.

Trotz der schnellen Reaktionszeit von Wordpress bleibt der zentrale Update-Server ein potentielles Sicherheitsrisiko, da sich über ihn unzählige Websites attackieren ließen. Andererseits gibt es derzeit aber auch keine bessere Lösung, um Wordpress-Seiten schnell mit sicherheitsrelevanten Updates zu versorgen.

Ebenfalls interessant: WordPress: 10 Plugins, die du haben solltest, wenn du startest.

via www.heise.de

Finde einen Job, den du liebst

2 Reaktionen
Alexander Nink

@Hortcore also bitte! Das ist typisch deutsch. Nach so einem wichtigen Beitrag sich darauf aufreiben ob es "WordPress" oder "Wordpress" geschrieben wird. In einem Werbeprospekt lasse ich es mir gefallen, in einem redaktionellen Artikel nicht.

Antworten
Horttcore
Horttcore

Ihr habt WordPress schon wieder falsch geschrieben :-(
Solltet ihr mal vielleicht in eure Rechtschreibprüfung aufnehmen.

Antworten
Bitte melde dich an!

Du musst angemeldet sein, um einen Kommentar schreiben zu können.

Jetzt anmelden