“WordPress 3.5.1 DE-Edition und Upgradepaket” (blog.wpde.org)

WordPress 3.5.1 wurde veröffentlicht. Diese Version ist ein Sicherheits- und Wartungsrelease. Eine Aktualisierung auf die neue Version 3.5.1 wird dringend empfohlen.

Dieses Update gab es am Freitag den 25. Januar und schließt u.a. auch eine Lücke zu Cross-Site Scripting, die von jedem Besucher des Blogs ausgenutzt werden kann.


Der Link zum Updaten, der im Backend von WordPress sehr gut versteckt (<g>) ist, wurde nicht einmal von Urgesteinen des Internet wie 1&1 oder SELFHTML (gefixt) gefunden.

Da die “Enquete-Kommission Internet und digitale Gesellschaft” irgendwie rum ist, muss man da auch nichts mehr pflegen. ;O)

Bei den angeblichen “Internetausdruckern” sieht es auch nicht besser aus: CDU (gefixt), SPD (gefixt), Grüne

Wer nun aber meint, dass die “Internetpartei” besser dasteht, der täuscht sich: Piraten

Auch Gottes Bestand hilft offensichtlich nicht weiter: Radio Vatikan (gefixt)

Dies war nur eine kleine Auswahl, der mehr als einhundert Blogs die ich auf die Schnelle fand, zu denen auch so unbekannte Seiten wie die folgenden gehören:

• audi.de
• basicthinking.de (gefixt)
• bildblog.de
• cebit.de
• daimler.de
• deutsche-startups.de
• giga.de
• gravis.de
• groupon.de
• gruenderszene.de
• gutjahr.biz (gefixt)
• indiskretionehrensache.de
• kraftfuttermischwerk.de
• nachdenkseiten.de
• ndr.de
• neusprech.org
• spreeblick.com
• stefan-niggemeier.de
• sueddeutsche.de
• wiwo.de

Nun mal ernsthaft.

Sobald man sich in WordPress einloggt, bekommt man sehr deutlich viermal angezeigt, dass es ein Update gibt: Updatehinweise im Backend von WordPress

Ich habe die bisher durchgeführten Updates von WordPress nicht gezählt, aber seit Februar 2007 (Version 2.0.7) betreibe ich diesen Blog und ich hatte noch nie ein Problem damit. Backups mache ich zur Sicherheit natürlich vorher, weil — man weiß ja nie, aber gebraucht habe ich diese bisher noch nicht.

Es kann zwar auch gute Gründe geben ein Update nicht sofort einzuspielen, weil z.B. eigene Änderungen am Quellcode nicht dokumentiert wurden und man damit rechnet, dass nach dem Update WordPress nicht mehr korrekt funktioniert, aber trotzdem kann man Sicherheitslücken deshalb nicht wochenlang einfach ignorieren.

Vielleicht wurden die Updates auch nur nicht durchgeführt weil die Dringlichkeit nicht bekannt ist. Aber vielleicht sind diese Updateschlampen bei ihrem Blog genauso uninteressiert an Updates, wie bei Updates für das Betriebssystem, Adobe Reader, Adobe Flash oder Java — dann wird mein Blogpost natürlich auch ignoriert werden.

20.02.2011:
“WordPress Plugin — jQuery Drop Down Mega Menu Widget” (designchemical.com)

25.02.2011:
“jQuery Plugin – Mega Drop Down Menu” (designchemical.com)

25.02.2011:
“jQuery Mega Menu 1.0 WordPress Plugin Local File Inclusion” (exploit-db.com)


In der Beschreibung des Exploits steht zwar “Local File Inclusion” aber es handelt sich in diesem Fall eher um Directory Traversal (de.wikipedia.org), da die Datei nicht ausgeführt, sondern “nur” angezeigt wird.

Unter Directory Traversal versteht man eine Sicherheitslücke in Web-Programmen wie z. B. einem Webserver oder einer Webanwendung, bei der durch Manipulation von Pfadangaben auf beliebige Dateien und Verzeichnisse zugegriffen werden kann, die dafür eigentlich nicht vorgesehen waren. Diese kann so ausgenutzt werden, dass sensible Daten wie Passwörter preisgegeben werden.

Der Klassiker unter den Beispielen für Directory Traversal ist /etc/passwd. In der versteckten .htaccess finden wir einen Hinweis wo die php.ini zu finden ist, usw. usw. Kennt man sich etwas mit dem System aus welches man angreift, so kann man in kürzester Zeit an die sicherheitskritischen Informationen gelangen.


Das eigentliche Problem des Plugins steckt in der skin.php:

header("Content-type: text/css");
 
$id = $_GET['widget_id'];
$skin = $_GET['skin'];
 
if(!empty($skin)){	
   $css = file_get_contents('./skins/' . $skin );
   $widget_skin = preg_replace('/%ID%/',$id, $css);
   echo $widget_skin;
}

Der Inhalt aus $skin wird ungefiltert übernommen.


Seit ein paar Minuten gibt es eine neue Version, in der die Lücke behoben ist. Dieser Entwickler hat schnell reagiert, evtl. aufgrund meines Hinweises.

Aber grundsätzlich wird deutlich, dass man sich sehr schnell Schwachstellen in sein System bauen kann, weil es einfach zu viele nicht vertrauenswürdige Quellen für Software gibt. Open Source hilft hier schnell die Lücke zu finden, aber es ist kein Garant dafür dass sich überhaupt jemand die Mühe macht in fremden Code nach Sicherheitslücken zu schauen.