WordPress Security-Fix auf v. 4.4.1

WordPress Security-Fix auf Version 4.4.1Das Schliessen einer XSS (Cross-Site-Scripting) Sicherheitslücke sowie das Beheben von 52 Bugs – das ist das Ergebnis eines aktuellen Updates der Open-Source-Blogsoftware WordPress, welche gestern veröffentlicht wurde. Zu den Bugfixes gehören ein verbesserter Emoji-Support, um die neuesten Emojis zu unterstützen, sowie ein zeitweilig auftretender Defekt bei der URL-Weiterleitung.

Die XSS-Lücke betrifft alle WordPress-Ausgaben bis einschließlich Version 4.4 – Nutzer der automatischen WordPress-Update-Funktion dürften das Sicherheitsupdate bereits eingespielt haben. Allen anderen wird schnellstmöglich eine manuelle Installation empfohlen, die hier heruntergeladen werden kann. Wer noch eine ältere WordPress-Version nutzen sollte, muss die jeweiligen WordPress-Patches 4.3.2, 4.2.6, 4.1.9, 4.0.9, 3.9.10, 3.8.12 oder 3.7.12 einspielen.

Erneute Sicherheitslücke im Adobe Flash-Player

Adobe-Flash-PlayerZum wiederholten Male ist im Adobe Flash-Player eine kritische Sicherheitslücke entdeckt worden, der im Web immer noch als Standard-Anwendung für die Darstellung von Video-Inhalten eingesetzt wird. Herausgekommen ist die Sicherheitslücke nach einem Hacker-Angriff auf den italienischen Überwachungssoftware-Anbieter Hacking Team. Dabei wurden auch Informationen über weitere, bisher unbekannte Schwachstellen im Adobe Flash-Player bekannt, auf denen Hacking Team ihre Überwachungsprogramme für Sicherheitsbehörden aufbaute. Aufgrund der Vielzahl von Schwachstellen in den letzten Monaten haben die Entwickler des Webbrowsers Firefox sogar temporär die Ausführung des Flash-Player standardmäßig blockiert!

Wie Adobe mitgeteilt hat, tritt die Lücke unter Windows und OS X im Flash Player bis zur Version 18.0.0.194 sowie unter Linux bis zur Version 11.2.202.468 auf . und ermöglicht es Angreifern, das System zum Absturz zu bringen oder sogar die Kontrolle zu übernehmen. Seit gestern (14.07.2015) steht für Windows- und Mac-OS-Nutzer ein Flash-Update auf die Version 18.0.0.209 zum Download bereit, welches den Bug behebt und daher umgehend installiert werden sollte. Nutzer des Google Chrome auf Windows, Mac OS X und Linux sowie des Internet Explorers 10 und 11 für Windows 8 und 8.1 erhalten das Update automatisch.

WordPress Sicherheitsupdate auf Version 4.2.2

WordPress Sicherheitsupdate auf Version 4.2.2Für die Open-Source-Blogsoftware WordPress ist ein wichtiges Update auf die Version 4.2.2. veröffentlicht worden, da erneut eine XSS Cross-Site-Scripting-Sicherheitslücke gefunden wurde. Das Sicherheitsunternehmen Sucuri hatte die DOM-basierte Softwarelücke entdeckt und vor den Folgen eines Angriffs gewarnt. Mit dieser Schwachstelle ist es Angreifern möglich das Document Object Model (DOM) im Browser des Opfers durch das Original-Script zu modifizieren und bösartige JavaScript-Schadcodes auszuführen. Sollte der Nutzer dabei als WordPress-Administrator eingeloggt sein, könnte der Angreifer sogar die komplette Website übernehmen.

Verursacher dieser Sicherheitslücke ist die Beispieldatei des Genericons-Icon-Sets, die sowohl im Default-Theme Twenty Fifteen vorkommt sowie über das Plugin Jetpack integriert wird. Makaber dabei ist, dass diese Beispielsatei vollkommen unnötig ist und lediglich für Tests der Entwickler benötigt wird.

Mit dem WordPress 4.2.2 Sicherheitsupdate wird die Beispieldatei automatisch entfernt und WordPress versucht weiterhin zu erkennen, ob andere installierte Themes oder Plugins diese verwundbare Datei mitliefern. Wer die automatische Update-Funktion in seinen WordPress-Einstellungen aktiviert hat, dürfte das Sicherheitsupdate bereits eingespielt haben. Allen anderen wird eine manuelle schnellstmöglich Installation empfohlen!

Adobe Flash-Player: Dringend aktualisieren!

Adobe Flash-Player: Dringend aktualisieren!In den letzten Tagen gab es kaum einen Tag, an dem man nicht neue Informationen über ein massives Sicherheitsleck im Adobe Flash-Player im Netz lesen konnte, sogar das komplette Abschalten des Tools wurde empfohlen. Hintergrund ist eine kritisch eingestufte Sicherheitsschwachstelle, die so gravierend ist, dass es Angreifern ermöglicht, Schadsoftware über den Besuch einer präparierten Webseite (u.a. das beliebte Videoportals Dailymotion war betroffen) durch Downloads im Hintergrund auf das eigene System zu installieren. Besonders betroffen durch diese Sicherheitslücke waren Nutzer des Mozilla Firefox und Internet Explorers unter Windows-Betriebssystemen. Adobe hat daraufhin die folgenden Versionen des Flash-Players als verwundbar angebeben:

  • Adobe Flash Player 16.0.0.296 und älter für Windows und Macintosh
  • Adobe Flash Player 13.0.0.264 und älter
  • Adobe Flash Player 11.2.202.440 und älter für Linux

Zwischenzeitlich wurde ein Sicherheits-Update für den Flash-Player (Version 16.0.0.305 resp. 13.0.0.269 bzw. für Linux 11.2.202.442) veröffentlicht, der diese Sicherheitslücke schliesst und darüber hinaus 17 weitere Schwachstellen behebt. Nutzer der Google Chrome erhalten diese Patch automatisch mit dem aktuellen Update auf Chrome 40.0.2214.111 installiert.

Seitens Adobe kann man auf der Flash-Player-Testseite abrufen, welche Version auf dem eigenen Computer installiert ist. Handelt es sich um eine niedrigere Version als die aktuelle, sollte man unbedingt die neueste Version direkt auf der Adobe-Website herunterladen und installieren!

TimThumb: Potentielle Sicherheitslücke in einigen WordPress-Themes

TimThumb: Potentielle Sicherheitslücke in einigen WordPress-ThemesDa spielt man regelmäßig die Updates von WordPress und den Plugins ein, um ja keine Sicherheitslücken offen zu haben, und trotzdem hat mich diese Woche mein Provider darauf aufmerksam gemacht, dass bei einem meiner Web-Projekte ein Malware-Schädling aufgetreten ist. Anhand der Log-Files konnte ich dann auch schnell den Übeltäter identifizieren und war etwas überrascht. Die Sicherheitslücke verursachte weder der Core-Part von WordPress noch irgendein Plugin, nein, der Übeltäter ist war ein kleines, aber feines Tool namens TimThumb, welches Bestandteil der in dem Projekt genutzten Theme ist.

Dieses PHP-Script kann Bilder auf beliebige Grössen zuschneiden und wählt dabei den bestmöglichen Ausschnitt. TimThumb wird vielen kostenlosen wie -pflichtigen Plugins und Themes verwendet, da es für die Entwickler einen geringeren Arbeitsaufwand bedeutet. Nur leider exisitiert in älteren Versionen dieses eigentlich sinnvollen Scripts eine Sicherheitslücke, mit der beliebige PHP-Dateien in dessen Cache-Verzeichnis eingeschleust und ausgeführt werden können. Und da dieses Script nicht automatisch durch WordPress auf eine notwendige Aktualisierung überprüft werden kann, fällt diese Sicherheitslücke meistens erst auf, wenn es zu spät ist!

Was kann resp. muss man nun also machen? Wenn man das Script nicht durch eine neuere Version ersetzen will, sollte man einfach die folgende Zeile suchen:

$allowedSites = array (
'flickr.com',
'picasa.com',
'blogger.com',
'wordpress.com',
'img.youtube.com',
);
und ersetzen mit

$allowedSites = array ();

Sinnvoller ist es aber natürlich, sich die neueste Version von TimThumb herunterzuladen und auf den Server zu spielen! Das habe ich gemacht und parallel dazu das WordPress Plugin Timthumb Vulnerability Scanner installiert. Mittels dieses Plugin können alle veralteten TimThumb Skripte angezeigt und automatisch auf den neuesten Stand gebracht werden. Und natürlich habe ich den Aufruf von Dateien auf externen Seiten komplett deaktiviert. Damit kann dieses Schlupfloch gar nicht mehr genutzt werden!

Auch wenn diese TimThumb-Sicherheitslücke nun bereits seit fast genau einem Jahr bekannt ist, hatte ich bisher davon nichts gelesen. Daher poste ich diesen Artikel heute, um eventuell anderen WordPress-Nutzern eine Hilfestellung zu geben resp. für dieses Thema zu sensibilisieren.

Erneutes Datenleck bei SchülerVZ entdeckt

Wie das Handelsblatt kürzlich berichtet hat, sind beim Social-Network SchülerVZ erneut Millionen Nutzerdaten abgegriffen worden. Durch Nutzung künstlicher eMail-Adressen wurde der Kopierschutz des Netzwerks umgegangen und 1,6 Mio. aktuelle Datensätze eingesammelt, was rund 30% aller Nutzerprofile des Sozialen Netzwerks enstpricht. Laut SchülerVZ betonte wurden nur Daten kopiert, die für alle registrierten Nutzer einsehbar seien. VZ-Geschäftsführer Clemens Riedl versucht daher das Thema zu relativieren, da es sich agg. nicht um ein Datenleck, sondern um einen Verstoß gegen die Allgemeinen Geschäftsbedingungen handelt.

Hinter der Aktion steckt Florian Strankowski von der Leuphana-Universität Lüneburg, der damit aufzeigt, dass die im Herbst letzten Jahres angekündigten Maßnahmen gegen das Auslesen von Schüler-Profilen seitens SchülerVZ offenkundig nicht ausreichend waren. In einem Interview mit Netzpolitik.org schildert Florian Strankowsk, was seine Motivation war und wie er dabei vorgegangen ist. Besonders peinlich dabei ist, dass er in zwei eMails die VZ-Gruppe auf die Sicherheitslücken hingewiesen hatte, zunächst aber keine Reaktion kam:

SchülerVZ-Sprecher Dirk Hensen entgegnete, dass die Mails an den zuständigen Techniker weitergeleitet und alle nötigen Schritte eingeleitet wurden. Aus ihm unbekannten Gründen sei jedoch ein Antwortschreiben des Netzwerkes an Strankowski nicht gesendet worden.

Wenn man überlegt, wieviele Schülerinnen und Schüler das SchülerVZ nutzen, sollte man annehmen, dass IT-Sicherheit einen höheren Stellenwert geniessen sollte.

Massive Sicherheitslücke beim SchülerVZ

schuelervz-logoDie bekannte und bei Schülern beliebte Internet-Community SchülerVZ ist das Opfer eines Daten-Crawlers geworden, was auf erhebliche Sicherheitslücken hindeutet. Von der insgesamt rund 5,5 Millionen starken Community wurden über 1 Millionen personenbezogene Daten wie Namen Geschlecht, Alter, besuchte Schule und das Profilfoto über einen Bot ausgelesen. Auch wenn die Mainstream-Presse aktuell sehr oft den Begriff Datendiebstahl verwendet, passt das hier m.E. nicht, denn es wurden „lediglich“ die für Community-Nutzer offen zugänglichen Daten ausgelesen. Vertrauliche Informationen wie Post- und E-Mail-Adressen scheinen hiervon nicht betroffen zu sein, womit ein Hacker-Angriff auf die Datenbank eher unwahrscheinlich ist.

Prekär ist das ganze aber alleine schon deswegen, weil es sich bei den Nutzern i.w. um Schüler im Alter von 12-18 Jahren handelt und gerade bei diesem Personenkreis sollte der Datenschutz besonders wichtig sein. Im VZ-Netzwerk-Blog gibt es auch eine Stellungnahme, in der u.a. versprochen wird:

Wir haben sofort Maßnahmen ergriffen, um weitere illegale Zugriffe auszuschließen.

Inwiefern es sich wirklich um illegale Zugriffe handelt, bleibt dahingestellt, ich hoffe nur, dass das VZ-Netzwerk ihre Sicherheitsmaßnahmen weiter verschärfen wird.

Update vom 20.10.2009

Wie AFP berichtet, wurde heute ein Verdächtiger in diesem Fall wegen versuchter Erpressung festgenommen. Scheinbar hat der Daten-Crawler bei einem Gespräch mit den VZ-Betreibern 80.000 Euro gefordert haben, ansonsten würde er die Daten in den osteuropäischen Raum verkaufen.

Diverse Community-Websites gehackt

In den letzten Tagen war ein Hacker leider erfolgreich unterwegs und hat diverse Community-Websites gehackt. Dazu zählt unter anderem das deutsche Support-Forum für die Open-Source-Forensoftware phpBB, wo es bislang Unbekannten gelungen ist, Benutzerdaten wie Username, E-Mail und den MD5-Hash des Passwortes auszuspähen. Wie der Forenbetreiber jedoch klarstellt, wurde keine Sicherheitslücke in phpBB genutzt, Ursache war das Zusammenspiel verschiedener Faktoren. Welche genau werden derzeit aus guten Gründen nicht genannt, denn es wurde Strafantrag gestellt und daher können zunächst keine weiteren Informationen veröffentlicht werden.

Ferner auch das Support-Forum von Woltlab gehackt, hier gelangte der Täter an ein Administratorenpasswort und konnte damit direkt an die Datenbasis ran. Weitere Community-Websites berichten inzwischen auch von erfolgreichen hacker-Angriffen, so dass hierbei System unterstellt werden muss!

Der oder die Täter bieten die Daten – über 125.000 Datensätze – inzwischen bereits zum Verkauf, wie ein Screenshots eines Threads auf h4ckyou.org zeigt. Wollen wir hoffen, dass dieses Angebot möglichst schnell unterbunden werden kann und der / die Täter ermittelt werden.