WordPress findet und schließt Authentifizierungslücke
Mit dem Update auf Version 3.8.2 und 3.7.2 schließen die Macher der Blogsoftware mehrere Sicherheitslücken. Eine davon wird als wichtig eingeschätzt und erlaubt das Umgehen der Anmeldung.
- Fabian A. Scherschel
Die Entwickler der quelloffenen Blogsoftware WordPress haben ein Sicherheitsupdate veröffentlicht, das eine als wichtig eingestufte Lücke schließt und weitere Probleme behebt. Die Entwickler empfehlen allen Administratoren so schnell wie möglich auf WordPress 3.8.2 oder 3.7.2 zu aktualisieren. WordPress-Seiten, die automatische Sicherheitsupdates aktiviert haben, sollten das Update bereits installiert haben.
Angreifer können die jetzt geschlossene Lücke (CVE-2014-0166) ausnutzen, um gefälschte Session-Cookies zu erstellen und damit Zugang zum Administrationsinterface zu erhalten. Die Lücke wurde vom WordPress-Team selbst entdeckt und geschlossen. Weitere Änderungen verhindern es, dass angemeldete Nutzer Posts veröffentlichen können, obwohl sie eigentlich nicht die Rechte dafür besitzen. Außerdem wurde die Verarbeitung von Pingbacks geändert, wohl eine Reaktion auf das DDoS-Problem mit der Pingback-Funktion, welches vor kurzem einige öffentliche Aufmerksamkeit erregt hatte.
Eine SQL-Injection-Schwachstelle und ein Problem mit Cross Domain Scripting in der Plupload-Bibliothek wurden ebenfalls behoben. Der Datei-Uploader wird getrennt von WordPress entwickelt, liegt dem Content Management System aber standardmäßig bei.
Nutzer von WordPress, die automatische Updates deaktiviert haben, können die aktuellen Versionen 3.8.2 und 3.7.2 auf der Webseite des Content Management Systems herunterladen.
Siehe dazu auch:
- WordPress im heise Software-Verzeichnis