Anzeige
Stellenangebote
|
|
|
Gravierende Sicherheitslücke im Wordpress Jetpack-Plugin |
05.10.2015 10:58:31 |
Wordpress Plugins haben immer wieder Sicherheitslücken, die relativ schnell wieder geschlossen werden. Mit dem Jetpack Plugin betrifft es allerdings eines der beliebtesten Plugins für das Content-Managment-System. Dazu kommt, dass Jetpack direkt von den Machern von Wordpress angeboten wird und damit sehr vertrauenswürdig ist. Das Plugin ist dabei nicht nur ein einzelnes Plugin sndern eigentlich eine ganze Sammlung von Plugin, die Blogs auf der Basis von Wordpress um einige wichtige Features bereichern. So bietet Jetpack beispielsweise eine Statistikfunktion, die Zugriffe auf die Inhalte des Blogs erfasst und eine Sicherheitsfunktion mit der Logins zusätzlich abgesichert werden.
Derzeit gibt es laut Wordpress Plugin-Repository mehr als eine Millionen aktive Installationen. Wahrscheinlich liegt die Zahl sogar noch deutlich höher im Bereich von mehreren Millionen Installationen. Die aktuelle Sicherheitslücke in diesem Plugin betrifft also eine sehr große Anzahl von Blogs.
Zwei gravierende Sicherheitslücken im Jetpack Plugin
Die Sicherheitslücken wurden Anfang Oktober veröffentlicht. Diese betreffen zwei verschiedene Bereiche.
Die Sicherheitsexperten von Sucuri fanden im Plugin einen sogannte XSS Sicherheit-Lücke. Damit ist webseitenübergreifendes Skripting möglich. Marc-Alexandre Montpass schreibt dazu im Blog, dass „Jetpack versions 3.7.0 and earlier are vulnerable to a cross-site scripting vulnerability in the contact form due to improper input sanitization“. Angreifer erhalten so die Möglichkeit Funktionen auszuführen, für die sie eigentlich gar keine Rechte haben. Im schlimmsten Fall kann so ein Blog komplett übernommen werden.
Ein zweiter wichtiger Pukt ist die Möglichkeit, über Jetpack Informationen über die Wordpress Installation zu erhalten. Bei der „Information Disclosure“ Lücke sind im schlimmsten Fall Zugriffe auf Zugangsdaten oder Passwörter für die Datenbank möglich.
Sicherheitslücken inzwischen geschlossen, Update notwendig
Die Macher von Jetpack haben mittlerweile reagiert und in der neusten Version (Jetpack 3.7.1) die bekannt gewordenen Lücken geschlossen. Wer jetzt die neuste Jetpack Version installiert ist daher nicht mehr von den Sicherheitsproblemen betroffen.
Allerdings muss man als Wordpress-Nutzer an dieser Stelle aktiv werden. Wer Jetpack nutzt sollte dringend und so schnell wie möglich die neuste Version einspielen. Das kann direkt über die Update-Funktion von Wordpress vorgenommen werden oder per manuellem Download und der Installation der neusten Version.
Prinzipiell sollte man ohnehin die Plugins und auch die Kerndateien von Wordpress auf den neusten Stand halten. Nur dann ist gewährleistet, dass gefundene Sicherheitslücken durch neue Versionen geschlossen werden. |
|
|
|
|
|
Passwort vergessen? Registrieren
Aktuell |
|
Premium |
|
Beliebt |
|
|