image

Kritiek beveiligingslek in WordPress gedicht

donderdag 23 april 2015, 15:58 door Redactie, 8 reacties

Voor eigenaren van een WordPress-sites is er deze week een belangrijke beveiligingsupdate uitgekomen die een kwetsbaarheid verhelpt waardoor een aanvaller de website volledig kan overnemen. Volgens de ontwikkelaars van WordPress gaat het om een kritieke cross-site scriptingkwetsbaarheid waarmee anonieme gebruikers de website kunnen compromitteren.

Het lek, dat door de Belgische beveiligingsonderzoeker Cedric van Bockhaven werd ontdekt, is aanwezig in WordPress 4.1.1 en ouder. Naast deze kwetsbaarheid zijn ook drie andere lekken verholpen. De impact van deze lekken zijn echter minder ernstig van aard. De ontwikkelaars van WordPress melden in de aankondiging van de update dat er deze week ook voor verschillende plug-ins beveiligingsupdates zijn uitgebracht. "Hou alles up-to-date om veilig te blijven", zegt Gary Pendergast van WordPress.

Ongepatchte plug-ins en WordPress-installaties zijn namelijk een voorname reden waardoor aanvallers websites weten te kapen. Zo bleek eind maart dat duizenden WordPress-websites waren gehackt via een lek in een populaire plug-in waar al geruime tijd een update voor beschikbaar is. De gehackte sites werden vervolgens gebruikt voor de verspreiding van malware. Vanwege de ernst van de nu gepatchte kwetsbaarheid heeft ook het Readiness Team van de Amerikaanse overheid (US-CERT) een waarschuwing afgegeven en adviseert beheerders om naar WordPress 4.1.2 te upgraden.

Reacties (8)
23-04-2015, 16:26 door Anoniem
En we blijven maar doorgaan met Wordpress...
23-04-2015, 20:01 door Anoniem
Zou iemand mij dit nou eens kunnen uitleggen waarom die XSS-lekken zou gevaarlijk zijn. Want XSS speelt zich toch volledig client-side af. Dus het risico in dit geval is dan toch hoogstens: om een site 'volledig over te nemen' moet een hacker:
- bijv een phishingmail sturen naar een beheerder met een link, waarop de beheerder zo gek moet zijn om daarop te klikken;
- als de beheerder op die link klikt wordt bijv. foute code uitgevoerd waarbij gebruik gemaakt wordt van deze XSS-kwetsbaarheid, waarna bijv. de inlogcookies naar de hacker worden doorgestuurd;
- maar de beheerder moet dan wel heel toevallig net ingelogd zijn, want anders werkt het niet...

Oftewel: die kans om dit te laten slagen zou dan zeeeer klein zijn. Maar ja, als dat het enige risico van een XSS lek is, dan zouden de WordPress ontwikkelaars de impact van dit lek niet zo hoog inschatten, dus er zal wel wat meer aan de hand zijn.
Maar zou iemand mij dat eens kunnen uitleggen, wat dit dan zou kunnen zijn?
23-04-2015, 20:48 door Anoniem
Door Anoniem: Zou iemand mij dit nou eens kunnen uitleggen waarom die XSS-lekken zou gevaarlijk zijn. Want XSS speelt zich toch volledig client-side af. Dus het risico in dit geval is dan toch hoogstens: om een site 'volledig over te nemen' moet een hacker:
- bijv een phishingmail sturen naar een beheerder met een link, waarop de beheerder zo gek moet zijn om daarop te klikken;
- als de beheerder op die link klikt wordt bijv. foute code uitgevoerd waarbij gebruik gemaakt wordt van deze XSS-kwetsbaarheid, waarna bijv. de inlogcookies naar de hacker worden doorgestuurd;
- maar de beheerder moet dan wel heel toevallig net ingelogd zijn, want anders werkt het niet...

Oftewel: die kans om dit te laten slagen zou dan zeeeer klein zijn. Maar ja, als dat het enige risico van een XSS lek is, dan zouden de WordPress ontwikkelaars de impact van dit lek niet zo hoog inschatten, dus er zal wel wat meer aan de hand zijn.
Maar zou iemand mij dat eens kunnen uitleggen, wat dit dan zou kunnen zijn?

Eenvoudig: Met XSS is het mogelijk om HTML te injecteren in de webpagina. Daarmee kun je dus ook JavaScript uit laten voeren binnen de beveiligingscontext van diezelfde pagina.

Als je bijvoorbeeld via een commentaar XSS kunt uitvoeren op het blog, dan kun je via JavaScript het session-cookie uitleest (er even voor het gemak van uitgaande dat die niet HttpOnly is) en vervolgens een onzichtbaar img-tag injecteert met een URL van *jouw* website, dan kun je dat session-cookie zo uit je access-log vissen (of je kunt er natuurlijk een script neerzetten wat het voor je opvangt en netjes ergens in een lijstje neerzet). Vervolgens kun je het cookie in je browser zetten en dus ingelogd zijn als de beheerder van het blog, en dat blog "volledig overnemen".
23-04-2015, 21:56 door ZeteMKaa - Bijgewerkt: 23-04-2015, 21:57
Je hoeft alleen een link te gebruiken bij Reflective Cross Site Scriptings, bij Stored Cross Site Scriptings kan een kwaadwillende zijn code op populaire pagina’s van de site zetten en er zo voor zorgen dat zijn slachtoffers worden aangevallen zonder dat ze het weten.

https://www.owasp.org/index.php/Cross-site_Scripting_%28XSS%29
24-04-2015, 11:09 door Anoniem
Door Anoniem: Zou iemand mij dit nou eens kunnen uitleggen waarom die XSS-lekken zou gevaarlijk zijn. Want XSS speelt zich toch volledig client-side af. Dus het risico in dit geval is dan toch hoogstens: om een site 'volledig over te nemen' moet een hacker:
- bijv een phishingmail sturen naar een beheerder met een link, waarop de beheerder zo gek moet zijn om daarop te klikken;
- als de beheerder op die link klikt wordt bijv. foute code uitgevoerd waarbij gebruik gemaakt wordt van deze XSS-kwetsbaarheid, waarna bijv. de inlogcookies naar de hacker worden doorgestuurd;
- maar de beheerder moet dan wel heel toevallig net ingelogd zijn, want anders werkt het niet...

Oftewel: die kans om dit te laten slagen zou dan zeeeer klein zijn. Maar ja, als dat het enige risico van een XSS lek is, dan zouden de WordPress ontwikkelaars de impact van dit lek niet zo hoog inschatten, dus er zal wel wat meer aan de hand zijn.
Maar zou iemand mij dat eens kunnen uitleggen, wat dit dan zou kunnen zijn?


"Oftewel: die kans om dit te laten slagen zou dan zeeeer klein zijn." Je onderschat hoe groot en tegelijk hoe klein het internet is.
24-04-2015, 11:57 door Anoniem
4.2 is er al 0_o

en ja, we blijven het gebruiken (azijnpisser)
24-04-2015, 14:22 door Anoniem
Door Anoniem: En we blijven maar doorgaan met Wordpress...

[sarcasm]Ja stom he?!?
Want alle alternatieven zijn wel veilig en zonder lekken en zo.... [/sarcasm]
26-04-2015, 16:17 door Anoniem
elke software of cms heeft wel fouten.
ik heb heel veel gewerkt met joomla .
ook van wordpress en prestoshop maken wij gebruik.

al vind ik de laatste een mooi cms maar vol fouten.
zelfs in de admin zitten IE fouten en dat vind ik echt een "NO GO"

joomla vind ik fijne software binnen een dag heb je een website ( en nee geen template )
gewoon door rammen.

wordpress ik ook super.

je moet alleen de vraag stellen wat wil ik er mee en in de toekomst alleen dan kan je een goede keuze maken.
want een beste "CMS " bestaad niet.

ze hebben allemaal wel een foutje en de ene heeft andere funties dan de andere vandaar.
over prestashop laat ik me nu niet uit, meschien over 5 jaar als het een stuk beter is.

maar het forum en niet zo groot / aardig / snel als bij joomla.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.